医療システムにおけるセキュリティについて

近年、医療機関におけるIT化が世界的に進んでおり、電子カルテ、検査画像データ、患者の治療履歴、保険請求のデータなど、
さまざまな医療データが電子化され医療システムで取り扱われるようになりました。
医療データ増加の背景には、以下のような要因があります。

■医療の質の向上への期待

各種検査データや医師による診断結果、病歴等、患者個人の病態を詳細に把握することで、患者一人一人合わせた医薬品を適切なタイミングで投与することで治療効果を高めていくような、個別化医療が重要になっています。
個別化医療により得られた診療記録を蓄積することで、新たな治療技術の開発にもつながると考えられています。

■コスト削減への期待

さまざまな医療データをネットワークを介して統合的に管理し、個々の患者の医療データを医療機関で共有し、さらに医師、看護師、介護士、理学療法士などが初期治療からリハビリに至るまでの各段階の医療従事者が情報連携することで、
患者の病態に合わせたキメ細かいケアが提供でき、重複した検査や投薬を減らすコスト削減につなげることができます。

■医療データの二次利用によるビジネスチャンスの拡大

医療のIT化で先行しているアメリカでは、医療データを活用した新しいビジネスが存在します。
たとえば、病院の会計システムとの接続といった周辺業務もサポートすることで、利便性や効率性などの付加価値を与え、その手数料から収入を得たり、医療データに基づいて広告をターゲティングし、広告料収入を得るといったサービスがあります。
日本では、2017年4月に成立した次世代医療基盤法により、医療データを扱う事業者の認定制度が導入され、2018年5月までに施行される予定です。
本制度は、情報セキュリティ技術と匿名化技術を保有する事業者を政府が認定するもので、医療機関による認定事業者への医療データ提供の要件が緩和されることになります。
これにより二次利用を含めて医療データの利用環境が整い、新たなビジネスチャンスが広がると見込まれています。

このように利用価値の高そうな医療データですが、当然データの取り扱いには十分なセキュリティが求められます。

■医療データのセキュリティ確保が課題

仮想通貨やクレジットカードのサービスにおける個人情報の流出が話題になっていますが、医療データを扱う医療システムにおいてもこれは重要な課題です。
医療データには患者個人の詳細かつ重要な情報が含まれ多岐に渡って利用できることから、サイバー犯罪者間で価値の高いデータとして取引されています。
新しいビジネスでその利用範囲がさらに広がれば医療データの需要は高まり、サイバー犯罪のリスクにさらされる可能性があります。

■医療情報のセキュリティに関するガイドライン

厚生労働省は、医療システムの導入や医療データの取り扱いについて個人情報保護法やe-文書法に対応するための総合的な指針として
「医療情報システムの安全管理に関するガイドライン」を発行しています。
http://www.mhlw.go.jp/file/05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou/0000166260.pdf
このガイドラインでは、医療機器製造業者は医療機器に対してどのようなセキュリティ対策が行われているかを利用者である
医療機関に対して明確にすることを求めています。
また、このガイドラインにはセキュリティ機能に関する説明の標準的な記載方法が定められていないため、
一般社団法人保健医療福祉情報システム工業会（JAHIS）および、
一般社団法人日本画像医療システム工業会(JIRA)は、
日本における標準書式となるよう「製造業者による医療情報セキュリティ開示書」ガイドを作成しました。
https://www.jahis.jp/standard/detail/id=128
「製造業者による医療情報セキュリティ開示書」ガイドには、製造業者が自ら製造した医療システムのセキュリティ機能に関する説明をチェックシート形式で記述することができるようになっており、製造業者と医療機関の双方にとって効率的なシステム構築を促しています。
医療データを取り扱うシステムを開発する際は、独自のセキュリティ対策を検討するのではなく、これらのガイドラインを活用したセキュリティ技術の導入や自己評価、運用的対策を行うことをお勧めします。