Medisea(メディシー)|成功確率を最大化するクリニック開業

開業サポート直通電話 平日 10:00~17:00
049-249-2626
お問い合わせ

コラム

Column

TOP コラム クリニックのセキュリティ対策?診療録管理体制加算1の要件

クリニックのセキュリティ対策?診療録管理体制加算1の要件

1.クリニックが直面するセキュリティリスク

PCセキュリティのイメージ図

クリニックは、電子カルテや予約システムなどを通じて患者の個人情報を大量に扱うため、情報セキュリティ上のリスクに常にさらされています。小規模な医療機関であっても、攻撃対象となる可能性は十分にあり、リスク管理を怠ると診療停止や信用失墜につながります。

物理的被害:盗難、破損、院内暴力、災害

診療所に保管される医薬品や現金、機器は盗難の対象になり得ます。夜間や休診日など無防備な時間帯に侵入を受けると、大きな被害が出かねません。また内部スタッフによる機器の誤操作・破損もリスクの一つです。さらに火災・地震・水害といった自然災害も情報資産を一瞬で失わせる要因となり得ます。

サイバー脅威:ランサムウェアや情報漏洩

近年特に増えているのがサイバー攻撃です。電子カルテや予約システムがランサムウェアに感染し、利用不能に陥った事例は国内外で報告されています。また、メール添付ファイルやUSBメモリを介したマルウェア感染、SNSやクラウドサービスへの不正アクセスなども無視できません。患者データの漏洩は訴訟や行政処分に発展する可能性もあり、経営へのダメージは甚大です。

 

2.診療録管理体制加算1の具体的な要件と制度活用

「診療録管理体制加算1」は、診療録(カルテ)の適切な管理体制を整備している医療機関が算定できる加算で、2024年度(令和6年度)の診療報酬改定でも強化が図られています。

制度の位置づけ

この加算は、患者の診療情報を安全に管理するための体制を評価するものです。電子カルテの導入や診療情報のバックアップ、セキュリティ体制が整備されているかが問われます。

求められるセキュリティ対策

  • 多様なバックアップ体制の整備: 非常時に備え、医療情報システムのバックアップを複数の方式で確保する。また、その一部はネットワークから切り離したオフライン保存であること。
  • BCP(業務継続計画)の策定: 非常時に、システムの復旧に至るまでの対応を策定する。
  • 年1回以上の訓練実施: 上記BCPに基づき、訓練・演習を年1回以上実施する。さらに、必要に応じて改善していくこと。

高得点加算を狙う体制整備

診療録管理体制加算1は、単に算定点数を得るだけでなく「クリニックがセキュリティ対策を徹底している」という信頼の証明にもなります。算定の有無は患者への安心感や他医療機関からの評価にもつながるため、積極的に体制を整備することが望ましいといえます。

 

3. サイバーセキュリティ9の心得

では、具体的にどのような対策をしていけばよいでしょうか。厚生労働省が医療機関向けに提示しているリーフレットに基づき、サイバーインシデントを未然に防ぐための心得をご紹介いたします。

経営管理者向け

1. アカウント整理と使用状況の棚卸し

  • 不要なアカウントの削除
  • アカウントのパスワード強度と管理状況

不要なアカウントの削除と同時に、使用中のアカウントのパスワード強度を点検しましょう。弱いパスワードが使われている場合は、半年以内にパスワード変更が行われたかを確認共有アカウントも忘れずに状況の棚卸を実施しましょう。

2. 連絡先の整備

  • 自組織内の緊急連絡先を整理
  • ベンダー、保守契約先等の連絡先を整理

緊急時の連絡先として、SAJ(一般社団法人ソフトウェア協会)・厚生労働省などの連絡先、担当者の整理を実施します。同じく自組織内で契約している重要機器のベンダーの連絡先なども、整理が必要です。

3. バックアップの実施状況の点検

  • 計画通りにバックアップが実行されているか確認
  • バックアップデータがネットワークから隔離されているか確認

重要なシステムのバックアップが計画通りに行われているかを確認しましょう。また、ネットワークから切り離されたオフラインのバックアップもあるか、複数の方法でデータ確保がされているかなどの確認も大切です。

医療情報システムの安全管理実務者向け

4.  通信制御の確認

  • 通信整備が適切に行われているか確認
  • 不要な通信先への制御(トラフィックコントロール)が行われているか確認
  • 関係事業者とのネットワーク接続点が管理下にあるか確認

重要なシステムや通信制御を行っている機器のログが適切に保存され、運用されていることを確認しましょう。さらに関係事業者とのネットワーク接続点をすべて管理下に置くことが必要です。

5. ログの確認

  • 攻撃の兆候がないかを再確認

管理者以外の認証の有無、管理外の設定変更が発生していないか?の確認をしましょう。

6. 各種システムの更新

  • ソフトウェアの更新が適切に行われているか確認
  • セキュリティ対策ソフトが常に稼働しているか確認

セキュリティ対策ソフトが常に稼働しているかを確認します(もしセキュリティ対策を導入されてない場合は、導入しましょう。)

医療従事者等向け

7. 機器やデータの持ち出しルールの確認と順守

  • 端末や外部記憶媒体の持ち出しについて、自組織内の安全基準等に沿った適切な対応

8. 利用機器に関する対策

  • 不正アクセスを防止するため、不正プログラム対策ソフトウェアは「常」に稼働
  • 長期使用しない場合は電源OFF

古いシステムが放置されている場合は、管理者に届出・相談しましょう。

9. 電子メールの確認

  • 電子メールを確認する前に、以下の対策を実施する
    └利用機器のOS・アプリケーションに対する修正プログラムの適用
    └不正プログラム対策ソフトウェアなどの定義ファイルの更新
  • アカウントのパスワード強度と管理状況

不審な添付ファイル・リンクを開かないようにし、不審な点があれば開封する前に電話や別の手段で管理者に相談しましょう。

参考:医療機関に対するサイバーセキュリティ対策リーフレット(令和5年 10 月)

 

4.最低限これだけは対策を

まずは「サイバー攻撃リスク低減のための最低限の措置」として、パスワード強化やソフトウェアの定期的なアップデーから取り組みましょう。

パスワードの強化と定期的変更

実際にこれまで攻撃を受けた医療機関では、パスワードが容易に推測可能なものであったり、4 桁と短かった例が確認されています。また、パスワードの使い回しは漏えいリスクを高め、一度の漏えいにより被害範囲が拡大しうるため、非常に危険です。

危険なID、パスワードの例

– 工場出荷時の設定や、初期設定のまま
– 12345678 (単純な数字は推測されやすい)
– pa$$w0rd、i234567&9(英語→記号への置き換えが想像されやすい)
– qwerty、7410(キーボード上の配列そのままで、押しやすい羅列)
– KoroHospital、KoroTaro (予測が簡単、名前や施設名そのままの使用)

いずれも、ありがちで予測しやすいパスワードが危険とされております。

どのようなパスワードが安全?

長く、複雑で、推測困難なものが推奨されます。
13 桁以上(桁数が多いほど◎)
英数字、大文字・小文字、記号が混在(組み合わせが多いほど◎)
ランダムな文字列(複雑なほど◎)

桁数・組み合わせが多く、ランダムな文字列にすることで、機械的な解析が困難となりサイバー攻撃のリスク低減につながります。

情報資産(IoT機器含む)の通信制御を確認する

ネットワークの通信網を正確に把握し、適切な対策をするよう求められています。
IoT(Internet of Things)とは、製品や機器同士がインターネットを介して情報交換を行う仕組みのことです。IoT導入により遠隔での診療や、データ活用など様々な利便性がありますが、上述の通りパスワードの定期的な変更などが重要となってきます。

セキュリティソフトのアップデートを欠かさない

サイバー攻撃の被害を受けた医療機関では、ネットワーク機器のバージョンアップが適切に行われていない事例が多く確認されております。定期的にアップデートすることで、セキュリティ上の脆弱性を解消します。

これらはすべてクリニックの規模を問わず実施すべき最低限の対策です。

参考情報:医療機関等におけるサイバーセキュリティ対策の取組みについて(周知依頼)

 

5. スタッフ教育と運用ルールの徹底

どれほど高度なシステムを導入しても、人の操作ミスや認識不足があればセキュリティは破綻します。「ヒューマンエラー」による情報漏洩に関しても、対策が必要です。

情報漏洩を防ぐ院内ルール

情報漏洩防止として、まずは基本的なところから確認し見直していきましょう。

  • USBメモリや私物PCの利用禁止
  • 電子メールで診療データを送信しない
  • 紙媒体の廃棄時にはシュレッダーや専門業者を利用

定期的なセキュリティ研修

職員向けに年1回以上の研修を実施し、最新のサイバー攻撃手口や対応策を共有します。フィッシングメールの見分け方を模擬訓練するなど、実践的なトレーニングが効果的です。

インシデント対応マニュアル

万一の情報漏洩に備え、初動対応をマニュアル化しておくことが必須です。

  • 発覚後の報告経路
  • 対応チームの役割分担
  • 患者への説明責任と再発防止策

「対応が遅れて被害が拡大する」という事態を未然に防ぎましょう。

 

6.セキュリティ投資とコスト管理の考え方

セキュリティ対策は「コスト」ではなく「投資」として捉えるべきです。被害が発生した場合の損失を考えれば、日常的なセキュリティ投資は決して高くありません

初期投資とランニングコスト

セキュリティシステムの導入には、機器やソフトウェアの購入費用が必要です。さらに、定期的なアップデートや監視サービスの契約といったランニングコストも発生します。コストがかかることの懸念から、セキュリティシステムの導入を見送ってしまうと、結果的に事故発生時の対応で大きなコストを負担することになります。

被害発生時の損失との比較

情報漏洩やシステム停止が起きると、損失は以下のように多方面に及びます。

  • 診療停止による収益損失
  • 患者への補償費用
  • 信用失墜による患者離れ
  • 訴訟や行政処分による経営リスク

日常的なセキュリティ投資は、むしろ安価なリスク回避手段といえます。

 

メディシーのクリニック開業支援

コンサルタントと医師の握手

本記事では、クリニックのセキュリティ対策について、診療録管理体制加算1の要件や厚生労働省が提示している対策について触れながらご紹介いたしました。

 

クリニック開業支援サービス「メディシー」では、立地選定や診療圏調査、医療機器導入のサポートなどを行っております。
開業を検討中のドクターは、お気軽にお問合せください。

新着コラム

クリニック開業の基礎知識もどうぞ

BasicTips
すべての記事を見る