Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages
Gem Med塾 病院ダッシュボードχ ZERO

サイバーセキュリティ対策における医療機関・ベンダー等の間の責任分解、現場に委ねず、国が「統一方針」示すべき—日病・相澤会長

2023.1.17.(火)

医療の質向上に向けて、医療DXを推進していく必要がある—。

しかし、その基盤となるオンライン資格確認等システムの本格導入には大きなコストがかかり、電子処方箋には「退院時処方などの院内処方情報、電子処方箋未導入医療機関・薬局の情報が抜ける」などの問題もある。「将来の姿は●●であるが、現在は○○にとどまっており、ここまでは可能だが、そこから先はまだできない」などの情報を適切に示すことが必要である。

また、医療機関のサイバーセキュリティ対策について「どこまでが医療機関の責任で、どこからがシステムベンダーや機器メーカーなどの責任なのか」を明確化する(責任分解)ことが、極めて重要なテーマとなっている。これを当事者の交渉に委ねることは適当ではなく、国が統一した指針などを設けるべきではないか。

日本病院会の相澤孝夫会長は、1月17日に本年(2023年)初の記者会見を行い、こうした考えを強調しました。電子処方箋などの改善、サイバーセキュリティに関する責任分解などについては厚生労働省に対して申し入れを行う予定で、とりわけ後者(サイバーセキュリティ)に関しては、現在も危険にさらされていることから早急に(2月中にも)厚労省に申し入れを行う考えを相澤会長は示しています。

1月17日に、2023年初の記者会見に臨んだ日本病院会の相澤孝夫会長

オンライン資格確認等システムを基盤とする医療DX、工程表や現状などを明確にせよ

医療分野においても、質向上・生産性向上に向けたDX(デジタルトランスフォーメーション)の必要性が強く指摘され、その一環として「患者の過去の診療情報を全国の医療機関等で共有・確認し、その情報を現在の診療に活かす」取り組みが始まり、順次拡大が進められています(関連記事はこちらこちら)。

こうした医療DXの基盤インフラとなるのが「オンライン資格確認等システム」です。保険医療機関では、本年(2023年)4月以降、原則として「オンライン資格確認等システムを導入する」ことが義務付けられています(紙レセプト対応医療機関等は例外、また一部医療機関等には経過措置を設けることが昨年末(2022年末)の中央社会保険医療協議会で決定された、関連記事はこちら)。

この点について相澤会長は、「導入コスト(費用)について、病院間で大きなバラつきがある」ことを指摘します。ある病院では「まず受け付け時のオンライン資格確認を導入し、その後に各電子カルテ端末に接続しよう」と考えたところ、システム改修費が莫大なものになったといいます。一方、別の病院では「オンライン資格確認の導入と、各電子カルテ端末のシステム改修とを同時に行おう」と考えたところ、システム改修費はそれほど大きなものにはならなかったようです。もちろん、病院の規模や導入システムの状況が異なるため単純比較はできませんが、「導入の仕方によってコストが相当程度変わってくる」ようです。

また、日本病院会幹部の間では「『◆◆さえ導入すれば、患者情報を全て、安全に確認できるようになる』という幻想を持つことは危険である」との考えで一致していることも相澤会長から明らかにされました。「将来の姿は●●であるが、現在は○○にとどまっており、ここまでは可能だが、そこから先はまだできない」などの情報を適切に示すことが必要と相澤会長は強調しています。

電子処方箋、「院内処方は未導入医療機関等の情報が抜ける」ため万能ではない

また、医療DXの成果の1つと言える「電子処方箋」の全国展開が、この1月26日からスタートします(関連記事はこちら)。

上述したオンライン資格確認等システムのインフラを活用し、医療機関が処方箋を電子的に登録し、薬局はその登録情報をもとに調剤を行う仕組みです。患者同意の下で「過去に処方・調剤された薬剤情報」の閲覧が医療機関・薬局の双方で可能になり、重複投薬や多剤投与、禁忌薬剤の投与などを「リアルタイム」でチェックし是正を図ることが可能になります。

ただし、電子処方箋も万能ではなく、例えば「退院時処方などの院内処方情報は対象外である」「電子処方箋未導入医療機関・薬局の情報が抜ける」などの問題もあります。このため、現在の「お薬手帳」による処方内容の確認は今後も継続していくことが必要であるなどの点が、日本病院会幹部の間で確認され、近く日病として厚労省に、この点を確認する内容に申し入れを行うことが決まりました。

サイバーセキュリティ対策の医療機関・ベンダー等の責任分解、国が統一方針示すべき

他方、我が国の医療機関はサイバー攻撃の危機にさらされています。2021年秋には徳島県の病院がランサムウェア攻撃を受け、昨今秋(2022年秋)には大阪府の大規模急性期病院が被害にあいました。患者の電子カルテをはじとする医療データがすべて暗号化され病院内で利用できなくなり、大阪府の大規模急性期病院では全面復旧までに数か月がかかるなど、大きな被害が出ています。

この点、日本病院会幹部では「サイバーセキュリティ確保について、どこまでが医療機関の責任で、どこからがシステムベンダーや医療機器メーカーなどの責任となるのか、その分解点を明確にしていく必要がある」との見解で一致しています。例えば、大阪の急性期病院におけるサイバー攻撃では「院外の調理を委託していた給食事業者のシステムを経由したものである」可能性が高いことが判明しています。また、MRIなどの医療機器に関するリモートシステムが古くなり、セキュリティに関するアップデートが疎かになるなどのケースが想定されます。

「どこまでを医療機関の責任と考えるのか、どこからをシステムベンダーや医療機器メーカーなどの責任と考えるのか」を明確にしなければ、まず十分な対応が行えず(アップデートを誰が行うのかなどを明確にしておかなければならない)、また被害が発生した際に、損害をどのような負担割合で賠償するのかを決めることも難しくなります。

この点については、相澤会長をはじめ、日本病院会幹部の間では「医療機関とシステムベンダー、機器メーカーなどの個別交渉に委ねることは適当でないのではないか(両者の力関係で、一方が不利益を被ることもある)。国として統一の方針・基準を明確にする必要がある」との考えで一致しています。

厚労省の「医療等情報利活用ワーキンググループ」では、こうした責任分解に関する内容も盛り込んだ「医療情報システムの安全管理に関するガイドライン」の再改訂(ver.6.0)論議も進められており、本年度内(2023年3月まで)にver.6.0が適用となる見込みです(関連記事はこちら)。

相澤会長は「医療機関は、現在でも、日々サイバー攻撃の危機にさらされており、早急に責任分解などを明らかにし、必要な対応(機器やソフトウェアのアップデートなど)を行う必要がある。2月中にも見解をまとめ、厚労省に申し入れを行いたい」との考えを明らかにしています。



GemMed塾MW_GHC_logo

【関連記事】

病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)