こんにちは。当ブログをご覧いただき、ありがとうございます。
管理人の白狐(しろぎつね)です。
終わりの見えないコロナ禍の影響で、徐々にテレワークが社会に浸透しつつあります。病院は仕事柄テレワークというわけにはいきませんが、学会発表や研修会などではすっかりオンライン開催が定着していますし、IT企業を筆頭に徐々に在宅勤務が日常化してきています。
そんななかで、セキュリティの甘さを突いたサイバー攻撃や、ITリテラシーの欠如から来る情報漏えいといった問題も出始めました。病歴や家族関係など高い個人情報を持つ医療機関にとって、プライバシー保護は最も注意を払うべき課題です。在宅勤務が広がる中、利便性を求めるあまりセキュリティ保護が疎かになってしまうと、取り返しのつかない事態を招く恐れがあります。
本記事では、そんなテレワーク時代に備えるべき病院のセキュリティについて考えます。
セキュリティには「外側からの保護」と「内側からの保護」とがある
セキュリティの考え方には、「外側からの保護」と「内側からの保護」があります。外部から不正にアクセスされて情報を盗み出されたり、内部ネットワークを破壊されたりといった行為を一般的にはサイバー攻撃と言い、こうした犯罪から身を守ることが「外側からの保護」になります。
テレワークはコロナ禍により一気に広がりましたが、急ごしらえしたものだけに然るべきセキュリティ対策がされておらず、サイバー攻撃に対し脆弱になっている場合があります。これについては以前NHKが特集で警鐘を鳴らしていました。
▼下記記事で詳しく取り上げていますので、併せてご覧ください。
上記記事にもあるように、2020年はカプコンや東建コーポレーションなど大手メーカーも被害に遭い、大量の情報漏えいが起こっています。病院にとってもこれは対岸の火事ではなく、外部からの攻撃に対しハード的・ソフト的に対策を講じる必要があります。
内側からの保護は意外と盲点
これに対し「内側からの保護」は、従業員に対するITリテラシー教育を指します。例えば、個人のスマホに患者情報をメモしたり写真撮影したりしないように教えることです。「これをやってはいけないよね」ということをきっちり教えることが、リテラシーを高めることにつながります。
言われてみれば当たり前のようなことでも、意外と軽いノリでやってしまっているケースもありますので注意が必要です。
とある病院では、Googleグループで患者の発熱情報などを誰でも見られる状態で情報共有していたことが明らかになりました。もちろん、当事者は悪意を持ってやっていたわけではないでしょう。知らなかっただけなはずです。リテラシーが十分に備わっていれば、「それってやっていいの?」「この設定が有効になっているか必ず確認しないといけないよね」といった意識が働いたはずです。
【独自】病歴情報をネットに「放置」…メール共有範囲を誤設定、聖マリ医大病院など複数施設 : 社会 : ニュース : 読売新聞オンライン
ネット上に保存した情報は、チェックボタン一つで「限定した人に公開」か「誰にでも公開」を簡単に切り替えることができてしまうため、「誰かの目に晒されている」という感覚が伝わってきません。見知らぬ誰かが、個人情報を見たとしても知らせてはくれないのです。公開設定の重要さが従業員に認識されていないと、このように内側からセキュリティを崩されてしまうことになりかねません。
こうした事態が起きると、決まって当事者からは「そうなるとは思わなかった」「限られた人にだけ見られると思っていた」という言葉を聞きます。Googleグループを使うことが悪ではなく、正しい知識や十分な教育がないままにこうしたサービスを使うことが危険を伴う、ということを知ってもらうことが大切です。
いくらハード的・ソフト的にセキュリティを強化しても、ここが疎かだと簡単にヒューマンエラーが発生します。以前、電子カルテの記録を撮影した写真がLINEで流出した事件がありましたが、同じことです。電子カルテのネットワークとインターネットを物理的に切り離していても、それをやられてしまってはもはや防ぎようがありません。確かな知識を持った技術者が、現場の運用を確認して適切な使い方を指導することが求められます。
新人の頃、会社で上司から「押印の重みが分かるようになったら一人前」と言われたことがあります。もちろん物理的な重みではありません。「押印する=その書類に責任を持つ」ということが分かった証拠、という意味です。チェックボックスひとつ付けるにも、その「重み」を理解できるようになったら、技術者として少しは一人前になれたということかもしれません。それだけ、設定の一つ一つは侮れないものだと言えます。
会議などで周知を
すべての従業員に対してITリテラシーを身に付けさせる、といってもすぐにできるものではありませんので、例えば会議などで部署長に対して「こうした行為は禁止です」「こういうサービスを使う上ではここに注意してください」といったアナウンスをしていくことが考えられます。
管理人も、事あるごとに「個人のスマホを使ってこういう風なことがしたい」と相談をよく受けますが、BYOD(Bring Your Own Device。私的端末の業務利用)の悪い面も必ず説明し、注意点を警告するようにしています。「やりたいことにいちいち口出しするうるさいヤツ」と思われているでしょうが(笑)、きちんと説明すると「確かにそこは考えないとね」「そんな面があるとは知らなかった」と言ってもらえることが多いですので、病院内SEの務めとして必要だと思います。
以上、テレワーク時代に備えるべき病院のセキュリティについて考えてみました。
何かとオンラインで済ませる時代になってきたからこそ、そこを付け狙う犯罪も増えてきています。現実世界では手元から物がなくなれば盗まれたことに気付けますが、ネットの世界では瞬時にデータをコピーし、持っていくことが出来てしまいます。個人情報を何より大切に扱うべき病院も、しっかり対策していくことが求められます。
------------------------------------------------------
当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。面白そうだと思っていただけたら、ぜひブラウザにお気に入りの登録をお願いします!
▼「病院内SEをもっと世間に知ってもらいたい」「面白かった」と思って頂けた方は、ぜひ下の「人気ブログランキング」のボタンを押してください! ブログのアクセス数向上につながります。
