医療業界向けサービス
医療業界を取り巻くIT環境
IT技術が進化した現在、病院を守るためにサイバーセキュリティ対策は不可欠です。
患者のプライバシーを守るために情報漏洩を防ぐ必要があり、法的コンプライアンスを遵守、悪意のあるハッカーやサイバー犯罪者からの攻撃に晒されるリスクがあるため十分な対策が求められます。
サイバー攻撃を受けた場合、損害賠償といった金銭的な損害だけではなく、最悪医療業務の停止を余儀なくされ患者様からの信用失墜などの社会的信用も失墜します。
一方、サイバーセキュリティ対策は常に進化し、難しいIT技術に関する情報収集や対策が求められ、専門的な知識が要求されます。私たちは単なるITシステムの提供に留まらず、組織統制に必要な規程類の整備、管理体制の提供、教育訓練を通じて、患者の情報を守り、法的規制を遵守し、信頼と評判を確保することに尽力いたします。
急増するサイバー攻撃
医療機関に限らず様々な業種業態の企業がサイバー攻撃の標的となっています。
攻撃を受けた組織は事業活動の停止を余儀なくされ、運営や経営に重大なダメージを受けることがあります。医療機関の場合は、診療行為の停止や手術ができない、入院患者様の転院を余儀なくされるなどダメージが大きく、人命にも直接影響がでる可能性があり、対策は急務です。
法的要件と規制
医療情報の取り扱いには個人情報保護法や医療法など法的要件と規制があります。医療機関が取り扱う個人情報は非常に重要なものであり、漏洩や改ざんなどあってはならず、法的にもそれらの取り扱いには十二分な注意義務が課せられています。
2023年4月には医療法の施行規則を改正し、5月には医療情報システムの安全管理に関するガイドライン第6.0版が発行され、サイバーセキュリティ対策の強化が明確に義務化されました。
医療機関におけるサイバーセキュリティ対策チェックリスト
厚生労働省が発行する医療機関におけるサイバーセキュリティ対策チェックリストには大きく3点のチェックが求められています
(厚生労働省)医療機関におけるサイバーセキュリティ対策チェックリスト
https://www.mhlw.go.jp/content/10808000/001139055.pdf
1 体制構築
2 医療情報システムの管理・運用
3 インシデント発生に備えた対応
それぞれ、令和5年度中に対応が要求されている事、令和6年度中に対応が要求されている事がチェックリスト形式で提供されています。
1体制構築
チェックリストでは体制構築の部分で安全管理責任者の設置が要求されています。これは単に安全管理責任者の名前を書くだけではなく、安全管理責任者の役割と責任、権限についての定義が求められます。任命方法についても組織が決めた手続きに基づき行われていることが重要です。その為にはこれら組織の手続きを定めた規程類の整備が必須になります。
2医療情報システムの管理・運用
チェックリストではサーバ、端末PC、ネットワークの台帳管理が求められ、セキュリティパッチの確実な適用などが要求されています。この対応を行うためには、組織内にあるサーバや端末PCの存在を網羅的に把握する必要があり、且つ利用されているソフトウェアのバージョンの把握と管理が必要になります。そのためにはIT資産管理が必須になります。
3インシデント発生に備えた対応
対応初期の段階ではインシデント発生時における内外の関係先への連絡体制図の整備が要求されていますが、次にはバックアップの実施と復旧手順、サイバー攻撃が発生した場合に速やかに診察を継続出来るように事業継続(BCP)の策定が求められています。