株式会社日本医事新報社 株式会社日本医事新報社

近藤博史

登録日:
2024-02-21
最終更新日:
2024-12-20
    • 1
    • 2
  • next
  • 「医療DXとセキュリティは表裏一体」

    「医療分野のサイバーセキュリティの遅れと医療DXの遅れは同源」である。逆にその対策を考えるとき「医療DXとセキュリティは表裏一体」と言えると思う。しかし、日本の医療機関のサイバーセキュリティ対策に危惧を感じる。販売業者のウイルス検知ソフト無料講演会やWebセミナーが多数行われ、医療機関の担当者は購入のための予算を経営者に要求し、経営者はこれさえ購入すれば対策は万全と考える。

    「ウイルス検知ソフトはウイルスを検知できないこともあり、設定を制限すれば、ウイルスを検知する必要もない」。組織の入口でウイルスを検知していた頃は、ウイルスのプログラムファイルのパターンを認識していた。これに亜型が増え検知できないものが増えると、サンドボックスという実際に挙動を見る方法や人工知能を使ったパターン認識もできた。しかし、2019年頃から部品の状態で入口を通過あるいは内部の部品を使うなどして、端末上で初めてウイルスが完成するものが増加した。これによりEDR(Endpoint Detection and Response)と呼ぶ新しい対策が必要になった。EDRはパターン検知ができないものもあり、端末上で完成した「ウイルス疑い」をサーバに保管して後日確認する機能もあるが、あまり使われていない。一方、設定で端末上に新たなソフトを導入できなくすることも可能で、この場合ウイルス検知ソフトは不要になる。

    先日、私が会長を務める日本遠隔医療学会の第28回学術大会が岡山県で開催され、増加する高齢者のフレイル対策や独居老人の見守り、人口減少による医療過疎地のオンライン診療、遠隔医療、遠隔介護システムの発表が多くあった。参加者から「電子カルテの導入をしたいがセキュリティの関係上、導入していない」との意見があった。セキュリティはシステム開発を制限している。一方、「画像や動画の送付システムの開発が困難でメール添付やLINEの利用を考えたい」との意見もあった。一体化したシステム化とシステム化できない部分と別のサーバ管理者に漏洩する危険のあるメール添付やLINEを併用するリスクとコストを評価すべきである。

    医療DXとセキュリティは表裏一体で考える必要がある。情報セキュリティマネジメントシステム(ISMS)では、①組織をつくり、②範囲を決め、③そこにある資産台帳をつくり、④資産をC.I.Aで分類し、⑤リスクを分析して、⑥セキュリティポリシーを作成し、⑦現場で適応し検討する。その中で検知ソフト、標準化、最適な技術導入などを考える。そして、⑧定期的に評価し、⑨改善するPDCAサイクルを回す。

    ⑥、⑦では侵入経路を想定して対策する必要がある。これは家やお城のように侵入経路を想定することになる。多重防御と監視が重要であり、重要な物は城の天守閣のような本丸に収容する。城の入口は平門よりも枡形が安全で、これは2重門でその間に空間を配置し、情報技術のFireWallのような構造である。本丸に入る者は武士に限定するように標準化して形式をそろえて検知しやすくする。天守閣から全体が見渡せると挙動の怪しいものがよくわかるので仮想サーバで管理を容易にする等検知以外にすることがある。このような基本の教育が重要で学会がするしかないと考える。

    近藤博史(日本遠隔医療学会会長、協和会協立記念病院院長)[情報セキュリティマネジメントシステム]

    ご意見・ご感想はこちらより

    過去記事の閲覧には有料会員登録(定期購読申し込み)が必要です。

    Webコンテンツサービスについて

    過去記事はログインした状態でないとご利用いただけません  ログイン画面へ
    有料会員として定期購読したい 定期購読申し込み画面へ
    本コンテンツ以外のWebコンテンツや電子書籍を知りたい  コンテンツ一覧へ

    • 1
    • 2
  • next
  • 関連記事・論文

    もっと見る

    page top