医療機関が知っておくべき医療情報セキュリティ / 京都大学医学部附属病院教授黒田知宏

京都大学医学部附属病院　黒田様に医療機関が知っておくべき医療情報セキュリティについてお話をお伺いしました。
黒田様には、現在公開中の診療所マネジメントEXPOでもご講演いただいています。
※2022年11月1日にCPA EXPOは診療所マネジメントEXPOに名称を変更しました。

診療所マネジメントEXPO講演内容をお聞かせください

講演タイトル『医療情報セキュリティの基礎』
医療情報セキュリティの基礎ということで、医療機関として知っておくべきことや基本的なルール、セキュリティを考える上での構え方をお伝えします。
また、それを守らないと診療報酬上の痛みを伴うリスクがあることも知ってもらえればと思います。

診療所マネジメントEXPOログインページへ

京都大学医学部附属病院での医療DXの取り組みを教えてください

データ利活用のため電子カルテを更新しました
直近においては、本年1月に院内にて使用する電子カルテを更新しました。
大学病院は、ある意味医学研究を行う場所としての性格が強く、今回の更新の狙いは、データを研究に活用しやすいプラットフォームとしての電子カルテを作ろうとしたことです。

電子カルテの設計においては、ついつい研究目的のデータ利用について関心が向きがちですが、やはりいかに入力しやすく、保存しやすいツールであるかが最も大事だと考えています。
そのため、まずはデータをきちんと入力できるようなテンプレートを用意した上で、さらに研究に用途にも利用しやすい状態になるよう意図しました。
とはいえ、全てのデータを現場の方が手で入力し続けるのは大変なので、看護師たちが入力する体温などのデータはIoTデバイスで直接取り込めるようにするなど、可能な限りで自動化もできるように工夫しています。

また、よりデータを利活用しやすくするということを考え、クラウド化にも取り組んでいます。
グーグルと京都大学医学研究科はMOUを結んでいるので、それに基づいてグーグルプラットフォームの上で医療データの二次利用ができるような仕組みを開発しました。

あとは、将来的には患者さんから直接データを頂くような機会も増えてくると考えており、患者さん向けアプリケーションを来年の1月リリース予定で動いています。
患者さんが病院に来るだけで受付を完了し、診察が終わると帰り道の途中に診察にかかった費用を決済できるような仕組みのものを検討中です。

人材育成の観点では、医療DX教育研究センターという教育組織を作り、デジタルサイエンスをどのように世の中に活用するかを学ぶための教育プログラムを、医学部学生や社会人向けに開いています。

セキュリティに関して、どのような施策をとっていますか

トラブルが起きた際のサポート体制を重視
まず大切にしていることとして、セキュリティ対策を行う上で、現場の方々を監視したり、管理したりしてはいけないと考えています。

監視・管理・禁止という状態になると、誰であってもいい気持ちはしないですし、ルール上の裏口や抜け道を探してしまう状態にもなりやすいと思います。
そのため、一方的に規則で縛るというよりむしろ、「相談したらサポートしてくれる」という雰囲気を作ることが大切になってくるでしょう。
いかにこのようなサポート体制を強化していくかを、セキュリティ対策の要諦にしています。

さらにもう一つ大切なことは、「私たちが守るものは何か？」という資産管理の観点を明確にすることです。
先ほどのIoTのお話と繋がりますが、当院ではネットワークに繋がっているIoTデバイスがどんなもので、どこで作動しているかをわかるようにしています。
普段作動していないはずのデバイスが動いているなどの現象が起きた場合は、トラブルが起きる前に対策ができるかもしれません。
そういったリスクの見定めと、現場の方が可能な限り気兼ねなく働けるようなバランスをとりつつ、仕組みを作っていくことが重要だと思います。

医療情報を守るために、セキュリティ強化は何から取り組めばいいでしょうか

人的なリソースの確保
セキュリティ強化のためには、人的なリソースを確保することが先決だと考えています。
今回の診療報酬改定で、医療情報システム安全管理者（CISO：Chief Information Security Officer）を設置することが診療録管理加算の要件に加わりました。この加算は400床以上の病院を意識したものですが、病院であろうとクリニックであろうと情報セキュリティが重要であることには変わりはありません。

クリニックでは院長先生が担当される場合がほとんどだと思いますが、まずは担当者を決め、いきなり強固な対策を取り入れるのではなく、クリニックの状況にあったセキュリティ対策を検討していくのがよいと思います。

具体的にどんなリスクがあるかということは、何が起こるかが全くわからないため大変予測が難しいと思います。
ですから、例えば、何世代かのバックアップをとっておく等、万が一被害にあってしまったとしてもなるべく被害、特に診療活動への影響を少なくできるように体制を整えることが重要だと思います。

プロフィール

京都大学医学部附属病院
医療情報企画部教授
黒田知宏氏

京都大学医学部附属病院の黒田です。
元々は、コンピューターサイエンスの分野が専門でしたが、ある日突然電子カルテ関連の業務を命じられたのがきっかけとなり、医療情報分野に携わりました。以後20年が経過し、現在では医療情報企画部にて教授を務めています。