クリニックでとるべきセキュリティ対策は?
クリニックのセキュリティ対策には、大きく2つの視点が必要です。ひとつは施設そのものが狙われたり、室内に侵入されたりすることによる被害を防ぐこと。そしてもうひとつはサイバー被害を防ぐことです。それぞれどういう対策をとることが必要なのか、早速みていきましょう。
物的被害・人的被害に対するセキュリティ対策
物的被害・人的被害を防ぐためには、ALSOKやSECOMなどのプロの力を頼ることや、防犯カメラなどのアイテム導入を検討することが望ましいでしょう。具体的にどんな被害が考えられるかをみていきましょう。
物的被害
盗難・窃盗
施設内に保管している薬品や金銭のほか、スタッフの私物、場合によっては患者の私物が盗まれることもあり得ます。出入り口や受付、スタッフルームなどに防犯カメラを設置することが大切です。ただし、考えたくないかもしれませんが内部の人間による犯行もあり得るので、カメラを設置していることを全員に周知させることは理想的ではありません。また、スタッフルームの防犯カメラ設置に関しては、プライバシーの侵害にならないよう考慮することが絶対条件です。
自然災害・火災
自然災害は発生を防ぐこと自体は難しいですが、火災も含めて、起こる可能性がゼロではないことを理解したうえで対策を取っておくことが必要です。大規模な病院でなければ、「すぐに逃げられない」というパターンは少ないですが、「大切なものを持って逃げる」はなかなか難しいもの。医療機器などはすべて買い直すこともできますが、紙カルテを復元することはできないので、もしものことを考えて電子カルテへの切り替えを進めておくことは賢明でしょう。
人的被害
院内暴力対策
患者からスタッフへ、スタッフからスタッフへ、言葉の暴力を含む暴力行為があった際、防犯カメラで記録しておくことができたら、犯人を訴える際の証拠になります。また、最近は逆恨みした患者がクリニックに押しかけて暴行を働くケースもあるので、万が一に備えてすぐにガードマンに駆け付けてもらえるような態勢を整えておくことも大切です。
ストーカー対策
看護師は患者にやさしく接することが仕事ですが、それゆえに好意を持たれてストーカー被害に遭うことが多いと言われています。ストーカー対策のためには、スタッフにGPS端末を配布することなどが有効。万が一の場合、ガードマンに駆け付けてもらえます。
参照:SECOM「病院・クリニック(医療機関)向けソリューション」
サイバーセキュリティ対策
続いては、サイバーセキュリティ対策について考えていきましょう。
まず、セキュリティ対策に関しては、院内のパソコンに対して対策を取っておくだけで十分ではありません。訪問診療にノートパソコンやタブレットを使うこともあれば、自宅に仕事を持ち帰るケースもあるので、院内アクセスできるすべてのPCやタブレットに対して対策を講じることが重要です。また、持ち出しを許可する場合、「持ち出し管理表」を用意することは必須。面倒ではありますが、毎回、承認を得てから持ち出しと形をとるのが賢明です。
具体的なセキュリティ対策としては以下が挙げられます。
ウイルス定義ファイル、OSを最新の状態に保つ
サイバー攻撃は日々進化しているので、ウイルス定義ファイルを最新の状態に保つことは大切です。また、WindowsのOSも常に更新し続けることが望ましいですが、使用しているソフトウェアが新しいOSに対応しなくなる可能性はあるので注意が必要です。
パスワード管理を徹底する
電子カルテを開く際にはIDとパスワードが必要ですが、ログインしたままの状態でPCを放置しておくと、第三者が簡単に電子カルテにアクセスできます。そのため、使用後には必ずログアウトすることが大切です。また、パスワードの定期的な変更も不可欠。そのほか、万が一外部に情報が漏洩した場合、誰が何の作業をした際にアクシデントが発生したのかを把握できるようにするために、一人ひとりに異なるIDを発行することも大事です。
定期的にバックアップを取る
患者の個人情報ページがサイバー攻撃の対象となった場合、過去のデータが消されてしまうこともあります。既往歴や投薬情報がわからなくなることは、場合によっては命にも関わるため、定期的にバックアップを取って万が一に備えることが大切です。バックアップを取っておけば、電子カルテのクラウドにアクセスできなくなったときにも、診察をストップせずに済みます。
怪しいメールは徹底的に無視する
セキュリティソフトやポートブロックを使用して外部からの侵入を防いでいても、マルウェアなどのウイルス付きメールを開いてしまうとあっという間に進入されてしまいます。サイバー攻撃は日々進化していて、関係者や関係機関になりすましてメールを送ってくることも多いので、最大限注意を払って見極めることが大切。最近では、日本医師会職員名が書かれた不審なメールが外部関係者に送られたこともありましたが、うっかり添付ファイルを開いたりURLをクリックしたりすると感染してしまうので、不審に思ったときには、件名や差出人のアドレスなどで検索してみるなどすることをおすすめします。
インターネット、医療ネットワークを分離する
外部からの接続を徹底的に防ぐために、インターネットと医療のネットワークを分離化するのもおすすめです。そうすれば、電子カルテを使うパソコンからはインターネットにつながらないため、基本的にサイバー攻撃を受けることはありません。
出所不明なメモリや外付けハードを端末に接続しない
たとえスタッフのUSBメモリであっても、院内のパソコンには接続しないのが賢明です。スタッフが意図的にウイルスを持ち込んでいなくとも、スタッフが知らない間に感染していることもあり得ます。
2022年4月からサイバーセキュリティ対策が義務化されている
厚生労働省は先ごろ、ランサムウェア対策などを盛り込んだ「医療情報システムの安全管理に関するガイドライン」を改訂。医療を含む14重点分野について、2022年4月より、サイバーセキュリティ対策を義務化するとしています。不正アクセスによる情報流出などが発生した場合、当局や被害者への報告を怠った企業に対しては、最大で1億円の罰則が科されることも発表されています。
しかし、万全な対策を取るための経費捻出が難しい医療機関が多いのが実情であることから、日本病院会、全日本病院協会、日本医療法人協会、日本精神科病院協会による「四病院団体協議会」は、国に対して公的頬金支給の緊急提言を実施しています。これによって、今後はサイバーセキュリティ対策のための補助金が用意される可能性も高まっているといえるでしょう。ただし、それを待ってから対策するのでは時すでに遅しとなる場合もあるので、予算をかけなくてもできるパスワード管理やバックアップなどは、今のうちから定期的におこなうようにしてくださいね。
