第1章
医療機関を取り巻くリスクについて考える
日本赤十字社副社長 東京大学公共政策大学院 客員教授 鈴木 俊彦
鈴木 俊彦 氏
そもそも医療機関のリスクを考えるとは、どのようなことなのでしょうか。地域において医療を提供する機関を安定的に運営していくためには、経営的観点が重要ですが、収支のみを優先する医療がこれから持続可能であるとは必ずしも言えなくなっています。医療保障は何のためにあるのか。経済学者の宇沢弘文氏が言われたように「社会的共通資本としての医療」という国民・患者中心の観点から考えることが今、必要ではないでしょうか。
医療機関のリスクを捉える上で重要なことは俯瞰的に見て構造的に考えるということです。今後の社会経済を見据えた枠組みを基に、視点を高く、視野を広くして見ること。そして、ヒト・モノ・カネの観点から構造的に考えることが欠かせません。
「人口構造」から浮かび上がる社会課題
リスクを具体的に考えていく上で、その脆弱性の増大を左右する要因として挙げられるのは、「人口構造」「災害(地震・気候変動)」「技術」となるでしょう。その中から、今回は俯瞰的・構造的な事例として、「人口構造」における「2040年スキーム」を見ていきましょう。
日本の人口動態は今後、団塊の世代が全員75歳以上となる2025年に向けて高齢者人口は急速に増加した後、その増加は緩やかになっていきます。一方、すでに減少に転じている生産年齢人口は、2025年以降さらに減少が加速するとみられています。この状況を対GDP比の社会保障給付費で見ると、2000~2015年度の15年間は6.8%ポイント程度の上昇を続けてきたことに対し、2025~2040年度の15年間では2.1~2.2%ポイント程度と、伸びが鈍化していく方向性にあります。
つまり、社会保障の持続可能性を維持するための重点が、これからはカネ(給付と負担)からヒト(マンパワー問題)へと変化していくのが「2040スキーム」なのです。こうした予測から浮かび上がってくる社会課題は、高齢者の人口の伸びが落ち着き、現役世代の急減によって、「より少ない人手でも回る医療・福祉現場の実現」が急務となることです。
人材確保に向けた改革はバックキャストで推進を
今後の医療・介護の総合的確保に関する基本的方向性としては「地域完結型の医療・介護提供体制の構築」「サービス提供人材の確保と働き方改革」「限りある資源の効率的かつ効果的な活用」「デジタル化・データヘルスの推進」「地域共生社会の実現」といった対策が考えられています。これからは限りある人材で増大する医療・介護ニーズを支えるために、期待される医療・介護提供体制の姿を関係者が共有し、バックキャストで改革を進める必要があると考えられます。
第2章
多様化するランサムウエアリスクへの備え
EY Japan Forensics フォレンジック・テクノロジーリーダー/サイバー・アシュアランスリーダー EY新日本有限責任監査法人 杉山 一郎
近年、医療機関に対するランサムウエア攻撃が多発しています。事業の継続や医療情報の安全性を脅かすサイバーリスクは組織全体の問題であり、今経営層が対処すべきリスクの1つとして注目されています。デジタル技術への依存が深まる今後の医療業界において、サイバーセキュリティ対策の不備は、財務、法律、組織に対する信頼、事業継続など、さまざまな面で経営に影響を及ぼすことになっていくはずです。
特にランサムウエア攻撃による事故は単純なコンピューターウイルスへの感染事故とは異なり、ファイルの暗号化により、業務利用のIT機能などが停止し、患者等に関する情報や業務に不可欠な情報を窃取され悪用される恐れがあります。また、「医療システム停止などに伴う代替え対応がもたらす労務上のリスクへの対応」「国境を越えた犯罪者集団とのコミュニケーション」「個人情報保護等の法規制対応」なども迫られるため、考慮するべき事項が増える傾向にあります。
経営視点を持って
これらの事項に対処していくには、「暗号データの復旧手段、適切なバックアップ手段の実装」や「暗号化および窃取された情報の分析」のような技術的視点だけでなく、「経済的損失」から「リーガルリスク」「サイバー保険の活用」「財務報告への影響」「組織外への情報開示」「組織横断での危機管理」のような経営視点を持ち、インシデントの発生に備える必要があります。
ランサムウエア攻撃がもたらすリスクに対し、医療機関はどのように備えればいいでしょうか。まずはこのリスクが与える影響は大きく、広いことを認識すべきでしょう。そして、そのリスクへの対応はIT部門や委託先による技術的対応だけでは不十分であり、経営層の指示の下、日頃のセキュリティ運用に対し、組織全体の観点で必要となる対策(人的・物理的・組織的)を整備することが欠かせません。だからこそ、組織として対応すべきことを経営層が理解し、必要な資源に投資し、経営側の期待と運用側(実態)との間にあるギャップを解消することがこれから重要になってくるのです。
第3章
治験・研究業務における不適切行為とモニタリング
EY新日本有限責任監査法人 Forensics事業部 シニアマネージャー 石橋 佐和子
医療機関では今、研究データの改ざんやねつ造などの偽装、不正の意図なく慣習化した行為をはじめ、さまざまな類型の不適切行為が多数報告されています。不適切行為は社会からの信頼失墜につながるだけでなく、組織体にも深刻なダメージをもたらす恐れがあります。
4つの視点から要因を探る
不適切行為はなぜ起きるのでしょうか。不正のトライアングルとして知られている以下の3要素がそろった時に、発生すると言われています。
- 不適切行為が実行可能、または容易だと認識させる環境がある「機会」
- 不適切行為の実行を積極的に是認する主観的な事情による「正当化」
- 不適切行為の実行を欲する主観的な事情による「動機」
上記に加え、関与者・指示者本人が品質に関するルールを知らない、あるいは理解していないなどの主観的な事情による「無知」も不適切行為につながる要因であると考えられます。
こうした不適切行為は、組織体や部署で慣習的・集団的に行われている場合もあり、1つの小さな行為が最終的に大きな影響を及ぼす恐れもあります。
不適切行為を防ぐためには、小さな不正・ミスや日々の違和感を放置せず適切に対応するとともに、「不正行為を一切許容しない」「違和感を報告・相談できる環境」といった組織風土を醸成することが重要です。
コンプライアンス体制の強化でリスク低減を
これら不適切行為への対策に向けて重要になってくるのが、コンプライアンス体制の強化です。具体的な取り組みの一例としては、業務プロセスモニタリングの実施が挙げられます。治験や研究における重要不正リスクの抽出や証票類のテスティング、現場担当者へのヒアリング、改善案の策定を通じて、プロセスにおける課題を洗い出し、不適切行為の芽を摘むことが可能となります。そして、規程類のアップデートやプロセス改善といった改善策の実行に加え、現場へのモニタリングの結果共有、定期的な研修実施やトップからのメッセージ発信を通じて、より良い組織風土につなげることが重要です。
従業員・職員が日頃から認識している不正につながりやすい組織風土の状況や不正の機会につながりかねない統制活動のほころびを、プロアクティブに把握し対処することで、不正リスクの低減を図ることが求められます。
結び
本シンポジウムでは、ヘルスケア業界のリスクについて最新のトピックを語り尽くしていると言えるでしょう。コロナ禍において、医療機関・医療提供体制は大変な試練に立たされましたが、さまざまな関係者の努力により、何とか終息に向かおうとしています。
「一方で、日本の医療体制の不備が浮き彫りになったことも事実です」。EY Japan ヘルスサイエンス・アンド・ウェルネスリーダーの矢崎弘直はこう指摘し、続けて次のように述べました。「今後は多種多様な課題に対処していくことが求められます。今回のシンポジウムも、そうした医療業界の課題の一端を具体的なかたちで示し、その解決に焦点を当てています」
EYでは、これまでも時代の潮流に合わせたテーマでシンポジウムを開催し、業界の変化や課題に焦点を当ててきました。昨年は新たなヘルスケア領域のトレンドとして、デジタル技術を活用し、健康データを中心に個人のヘルスアウトカムを実現する「インテリジェント・ヘルスエコシステム」の流れを紹介しました。そのイメージ動画は、リンク先の記事「インテリジェント・ヘルスエコシステムで価値を生み出すには」に掲載しています。
本稿は2023年3月8日に開催した「EYヘルスケアシンポジウム 2023」を基に編集しました。詳しくは、オンデマンド配信でご視聴ください。
サマリー
ヘルスケア業界は、人手不足といった日本の社会構造的な問題のみならず、サイバー攻撃、研究における不適切行為など、個々のリスクについても適時適切な対応が求められています。このようなリスクには、経営的な視点を持ってプロアクティブに対処することが不可欠、との見解が「EYヘルスケアシンポジウム2023」の中で示されました。
