病院のSEとして10年以上働いている@whitefox21seです。
▼Twitterで最新記事やアクセスランキングをツイートしてます。こちらもよろしくお願いします!
Follow @whitefox21se
すっかり春になり、北海道では史上最速で桜が満開になりました。しかしながらその日によって春の暖かさと冬の寒さが入れ替わるような季節の変わり目で、体調を崩さないように気をつけなくては、と思っています。北海道は花粉とはほぼ無縁ですが、先日の大規模な黄砂から逃れることは出来なかったようで、車体が傷まないよう週末には洗車しました。それだけの黄砂だったので、なるべく体内に吸い込まないよう、マスクをして防御しているところです。
さて、4月は医療情報技師としてはビッグなニュースがありました。いつものように3本、ピックアップして紹介します。
- 医療法改正による医療機関のセキュリティ義務化 ー要点とサイバー攻撃動向から注意すべきポイントー
- Androidスマホへの「マイナンバーカード」電子証明書搭載は5月11日から 何ができる? 対応機種は?
- 健康保険証などの書類の本人確認書類としてのお取り扱い終了について
読者の応援が心から励みになります。記事を読むたびに、「人気ブログランキング」または「にほんブログ村」ボタンのクリックをお願いします!
※クリックすると私に票が入ります。押すだけなら無料(笑)!情報が取られる等はありませんので、ぜひ応援よろしくお願いしますm(_ _)m
システムエンジニアランキング
にほんブログ村
医療法改正による医療機関のセキュリティ義務化 ー要点とサイバー攻撃動向から注意すべきポイントー
医療法改正を解説したトレンドマイクロの記事です。
このブログでも何回か伝えていたとおり、ついに4月に医療法が改正され、サイバーセキュリティ対策が医療機関に対して義務化されました。これまで各医療機関は「医療情報システムの安全管理に関するガイドライン」に従って院内の運用規定を決めていたわけですが、国内病院の度重なるランサムウェアの被害を受け、ついに法的に義務化された格好です。義務を果たしていなければ違法とみなされますので、サイバーセキュリティ対策に本腰を入れて取り組まねばならない状況になったと言えます。
これに合わせて厚生労働省は「医療情報システムの安全管理に関するガイドライン」第6.0版の作成を進めており、対象読者を「意思決定・経営層」「システムの安全管理者」「システムの運用担当者」の3つに分け、それぞれに応じた役割や果たすべき責任について整理するようです。個人的にこれは嬉しい改訂。なぜならセキュリティ対策の必要性をもっとも認知すべきなのが「意思決定・経営層」だからです。
ランサムウェアの被害を受けた病院の事故報告書を読むと、対策の重要性・必要性が理解されず予算をつけてもらえなかったり、必要な人員配置がされていなかったりしたことが一つの原因として挙げられていました。医療情報技師ならガイドラインで示された準拠すべき要件を理解しているでしょうが、肝心の予算がつかず、ワンオペ状態では守れるものも守れません。技術的な要件はさておき、まずは経営のトップがセキュリティ対策の必要性を認知し、危機感を持って取り組んでもらわなければなりません。
医療法の改正なら、経営層もさすがに無視とはいきませんので、今回の改定は私にとって大歓迎です。第6.0版は今年5月に発行予定だそうですので、出たらすぐに院長へ持っていこうと思います(笑)。
また、次の点も見逃せません。
また、委託先の過失によるセキュリティインシデントについても、医療機関側の責任が言及されています。システム事業者へ業務委託する場合でも、管理者、利用者としての責務が施設側にあることを理解して、契約や責任分界点を整理する必要があります。
某病院の事故報告書では、電子カルテシステムの保守費を払っていなかったにもかかわらず、ベンダーの説明責任を問うような内容が書かれていました。TwitterのITクラスタの人々から総スカンを食らっていましたが、私もまったく同感でした。病院は集積された個人情報を扱う事業者なわけですから、他人事ではなく当事者意識を持って、自己の責任でカルテを管理しなければなりません。当然、カルテの安全管理を担保するためにベンダーとの保守契約は欠かせないものであり、結ばないのなら相応の管理体制を院内で整える必要があります。おろそかにすべきでないものを放置していたわけなので、そこをしっかり医療機関に理解させるものとして、この第6.0版は期待できると考えています。
これまでは、ガイドラインの中身を我々が読み込み、咀嚼して経営層に伝えていたわけですが、これからは「意思決定・経営層」のパートだけを取り出して渡せばよいので、危機感や必要性がいっそう伝わりやすくなるはず。医療法改正とガイドライン改訂を武器に、予算編成や経営企画をつついていけたらなと思います。
煽りみたいですが、Emotetが再流行し始めた今、一層安全なファイル送受信の方法を確立すべき時期に来ています。
そこで私のおすすめは、2GBの無料プランから利用できる法人向けクラウドストレージ「 Xserverドライブ 」。国内レンタルサーバNo.1のXserverが提供するサービスで、高信頼性・高可用性・高スピードに優れた品質が備わっています。
ビジネスシーンでは、実用性に優れるため未だにメールの添付ファイルが目立ちますが、クラウドストレージなら相手にセキュリティ意識の高さをアピールすることにも繋がります。何よりも添付ファイルからのウイルス感染を防ぐ有効な手段となりますので、ぜひ病院においても積極的に採用したいものです。
▼今なら利用料金10%オフのクーポン付き!
私の病院でもクラウドストレージを使ってファイルをやり取りしています!
小さなことから少しずつ、サイバーセキュリティ対策を進めるしかないよね。
Androidスマホへの「マイナンバーカード」電子証明書搭載は5月11日から 何ができる? 対応機種は?
ついにマイナカードがスマホへ搭載されることになります。5月11日からということで早くもこのGW明けに使えるようになるわけですね。河野大臣のやることはスピード感があります。
患者がマイナ保険証をスマホで使う場合、カードリーダーはスマホに対応するのか?が気がかりな点。スーパーなどのセルフレジでバーコード決済するときに、スマホの向きによってはうまくバーコードが読み込まれず、イライラすることが私にはよくあります(笑)。マイナ保険証のカードリーダーはICカードの読み取りを前提として設計されているはずで、カードを差し込む向きも決められています。しかもNFCなどのタッチ機構ではなく、照明を照らしてカードを読み取る機構のため、スマホの場合はどうなるのか?がよく分かりません。
若者ならスマホにマイナカードを入れそうですので、受付窓口で使い方の説明をさせられたり、質問されたりしそうな予感・・・。
ところで私の病院のマイナ保険証利用率はかなり低く、いったいどれだけの人が今後使うのか見通しが立ちません。ホコリをかぶっているのでは?と思うくらい稼働率低めです。河野大臣が公約通りにマイナ事業を進めるのは構いませんが、理想と現実にかなりギャップがあり、私としてはあまり先取りした動きはせずに静観しよう・・・と考えているところです。
健康保険証などの書類の本人確認書類としてのお取り扱い終了について
ドコモに続き、KDDIも健康保険証を用いた本人確認を終了するとのこと。両社ともに5月中に予定しているそうです。
KDDIは理由として不正利用を挙げていますが、政府は健康保険証自体を廃止しマイナ保険証に一本化する方針ですので、遅かれ早かれ終焉を迎えることにはなりますね。
最近、さまざまなインターネットサービスのオンライン認証手段として、スマホで顔写真付きの本人確認書類を撮影するタイプがあります。郵送で信書を受け取る形式に代わって済ませられるので、なかなか便利なんですよね。この認証手段に慣れてくると、健康保険証とほかにプラスしてもう一つの本人確認書類・・・というのが面倒になってきて、本人確認書類は原則顔写真付きのものが便利なのでは、と思ってしまいます。
マイナカードがスマホに搭載されれば、本人確認書類の撮影すら必要なくなり、スマホで顔写真を取るだけで認証するような時代が来るかもしれませんね。それはそれで便利ですし、大歓迎です。
保険証が廃止されたら、マイナ保険証持ってない人はどうなるの?
岸田首相は、資格証明書的なものを別に用意する、と以前言っていましたね。今後どうなるのか、政府のマイナ事業から目が離せません。
以上、医療情報技師の私が注目した、2023年4月のニュースを紹介しました。
今年は、医療法改正をもとに医療機関がどこまで意識を改革してセキュリティ対策を進めていけるか、が重要になってくると思います。偶然か必然か分かりませんが、つるぎ町立半田病院は2021年10月、大阪急性期・総合医療センターは2022年10月と、同じ10月にランサムウェアの被害を受けています。今年の10月にまたどこかの医療機関が餌食になるかもしれません。そうならないためにも、今のうちから可能な限りの対処と準備を進めていきたい、と思うところです。
最後に
当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。
面白いと思ったら、ぜひブラウザにお気に入りの登録をお願いします!
人気記事もぜひ読んでいってくださいね。
▼面白かったと思って頂けたら、ぜひ下の「人気ブログランキング」または「にほんブログ村」のボタンを押してください!