病院の情報セキュリティ確保は必ずしも十分ではない、ベンダとの責任分解明確化も2割の病院にとどまる—日病

2023.2.6.（月）

病院の情報セキュリティ確保は必ずしも十分ではなく、例えば25％の病院が機器・ソフトのバージョン情報把握を行えていない—。

また、システムベンダとの情報セキュリティに関する「責任分解」について、2割の病院では明確化ができていない—。

日本病院会が2月2日に公表した「電子カルテシステム等のセキュリティ対策状況について」報告から、こうした状況が明らかになりました（日病のサイトはこちら）。日病では、脆弱性の認められた病院に対し、個別の注意喚起を行っています。

情報セキュリティ確保には多額のコストが必要だが・・・

多くの医療機関において電子カルテ等の院内情報システムの整備が進んでいます。さらに、医療分野における質向上・生産性向上に向けたDX（デジタルトランスフォーメーション）の必要性が強く指摘され、その一環として「患者の電子カルテ情報を全国の医療機関等や患者とも共有・確認し、その情報を現在の診療に活かす」取り組みが始まり、順次拡大が進められています（関連記事はこちらとこちら）。

ただし、こうした取り組みの大きなハードルとなっているのが「情報セキュリティ確保」です。

昨今、「ランサムウェアと呼ばれるコンピュータウイルスによって医療機関等が多大な被害を受けてしまった」事例が散発しています。

ランサムウェア（Ransom（身代金）＋Software（ソフトウェア）の造語）はコンピュータウイルスの1種で、例えば医療機関の保有する診療データ等を全て暗号化して閲覧不能とたうえで「データを元に戻して欲しければ多額の費用（身代金）を支払え。言うことを聞かなければ機密データを公開するぞ」などと脅す犯罪に使われています。昨秋（2021年秋）には徳島県の病院がランサムウェア攻撃を受け、今秋（2022年秋）には大阪府の大規模急性期病院が被害にあいました。患者の電子カルテをはじとする医療データがすべて暗号化され病院内で利用できなくなり、大阪府の大規模急性期病院では全面復旧までに数か月が必要となりました。

こうした事態も踏まえ、厚生労働省と健康・医療・介護情報利活用検討会の「医療等情報利活用ワーキンググループ」では、「医療情報システムの安全管理に関するガイドライン」を改訂し、例えばシステム担当者のみならず、医療機関の管理者（院長等）もセキュリティ確保の重要性強く認識することの重要性などを注意喚起していくこととしています。

そうした中で日本病院会では、会員の病院における情報セキュリティ体制を調査（382病院が回答）。そこから、次のような状況が明らかになりました。

▽情報システムの管理体制は、「専任の担当部門がある」：217病院（56.8％）、「委員会等を設置している」：199病院（52.1％）、「専任の担当者がいる」：152病院（39.8％）、「兼務の担当者がいる」：168病院（44.0％）など

▽情報システムの保守体制は、「内部スタッフおよび外部業者」：276病院（72.2％）、「外部業者」：61病院（16.0％）、「内部スタッフ」：43病院（11.2％）、「実施していない」：1病院（0.3％）、「わからない」：1病院（0.3％）

▽院内の医療情報システムの「リモートメンテナンス」について、373病院（97.6％）が許可している

▽リモートメンテナンスを許可している病院のうち、「バージョン情報を把握できている」のは279病院（75.0％）、「バージョン情報を把握できていない」のは93 病院（25.0％）

▽システムセキュリティに関する責任分界（どこまでを医療機関が負い、どこまでを外部システム事業者等が負うか）について、契約書・SLA（サービス合意書）で明示的に定めているのは76病院（20%）、契約を取り交していないのは194病院（51.1％）

▽「医療情報システムの安全管理に関するガイドライン」に基づき、外部ITベンダから報告を受け内容の確認を行っているのは171病院（45.0％）、行っていないのは168病院（44.2％）、わからないが41病院（10.8％）

ここから、「すべての病院でセキュリティ確保が十分に行われているとは言えない」状況が伺えます。セキュリティに問題があれば、上述したランサムウェア等の被害に合い、長期間の診療停止等に追い込まれる確率が非常に高くなります。

日病でICT推進委員会の委員長も務める大道道大副会長（社会医療法人大道会理事長）は「回答病院の中で脆弱性があるとされる機器を使用している病院へは、個別に注意喚起している」ことを明らかにしています。

なお、セキュリティ確保には、やはり相応のコストがかかります。日病・全日本病院協会・日本医療法人協会・日本精神科病院協会で構成される四病院団体協議会の調査によれば300床台の病院では1050－2600万円程度、500床以上の大規模病院では5900万－1億3000ま万円程度の費用がかかるとされています（関連記事はこちら）。

日病の相澤会長も「責任分解について個々の医療機関にまかせず、国が統一の基準を示すべきではないか」、「サイバーセキュリティ確保対策を国が支援すべきではないか」などの考えを強く打ち出しています。

【関連記事】

病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング（1）
医療機関のサイバーセキュリティ対策強化方針を決定、セキュリティ対策の全体的底上げに向けGLを再改訂―医療等情報利活用ワーキング
医療機関のサイバーセキュリティ強化に向け、人材育成やデータバックアップ、専門家の支援など充実―医療等情報利活用ワーキング
医療情報システムガイドライン改訂を決定、ランサムウェアなどサイバー攻撃対策強化を―医療等情報利活用ワーキング
ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング
病院のサイバーセキュリティ対策コスト、500床以上病院では１億3000万円程度となり公的支援が必要―四病協

全国の医療機関で診療情報（レセプト・電子カルテ）を共有する仕組み、社保審・医療保険部会でも細部了承
電子カルテ情報の全国医療機関での共有、標準規格準拠電子カルテ普及等をあわせて推進―健康・医療・介護情報利活用検討会（2）
医療機関での患者レセプト情報共有、「手術」は別に個別同意を共有要件に―健康・医療・介護情報利活用検討会（1）

電子カルテ情報の共有、「国民・患者サイドのメリットは何か」を明確に―医療情報ネットワーク基盤WG
中小規模医療機関の標準準拠電子カルテ導入、基金や診療報酬活用して支援へ―医療情報ネットワーク基盤WG
電子カルテデータの共有、「キーとなる情報の明確化」が何よりも重要―社保審・医療部会（2）
ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング
救急医療管理加算、定量基準導入求める支払側と、さらなる研究継続求める診療側とで意見割れる―中医協総会（3）

電子カルテの標準化、まず「電子カルテの将来像」固め、それを医療情報化支援基金の補助要件に落とし込む―医療情報連携基盤検討会
2019年度予算案を閣議決定、医師働き方改革・地域医療構想・電子カルテ標準化などの経費を計上
異なるベンダー間の電子カルテデータ連結システムなどの導入経費を補助―厚労省・財務省

全国の病院で患者情報確認できる仕組み、電子カルテ標準化など「データヘルス改革」を強力に推進―健康・医療・介護情報利活用検討会
医療機関等で患者の薬剤・診療情報を確認できる仕組み、電子カルテ標準化に向けた方針を固める―健康・医療・介護情報利活用検討会
電子カルテの標準化、全国の医療機関で患者情報を確認可能とする仕組みの議論続く―健康・医療・介護情報利活用検討会
「健康・医療・介護情報共有方針」固まる、全国の医療機関等で薬剤・手術等の情報共有可能に―健康・医療・介護情報利活用検討会
「レセ情報とレセ以外情報」をセットで格納・共有し、効果的かつ効率的な医療提供の実現を―健康・医療・介護情報利活用検討会
全国の医療機関間で、患者の「薬剤情報」「手術情報」など共有できれば、救急はじめ診療現場で極めて有用―医療等情報利活用ワーキング
電子カルテ標準化や国民への健康情報提供（PHR）など一体的に議論し、夏までに工程表まとめる―健康・医療・介護情報利活用検討会

本年（2022年）10月からの【医療情報・システム基盤整備体制充実加算】の詳細提示、初診時の「標準的な問診票」も示す—厚労省
オンライン資格確認等システム、来年（2023年）4月からの原則義務化に向け「一刻も早い対応」が必須—厚労省・三師会
本日（2022年8月24日）18時半から、オンライン資格確認等システムのWEB説明会—厚労省
訪問診療や訪問看護等、初回訪問時に「過去の診療情報共有」等の包括同意を取得する仕組みに—社保審・医療保険部会（2）
オンライン資格確認等システム導入の経費補助を充実、医療機関等は「早期の申し込み、システム改修」に努めよ—厚労省
オンライン資格確認等システムを2023年度から保険医療機関等に義務化、導入促進に向け「初診料の新加算」創設—中医協総会（1）
オンライン資格確認等システム、2023年4月から紙レセ医療機関等以外は「原則、導入義務」へ—中医協総会（2）