医療情報システム セキュリティ確認・監査支援

マルウェア被害など情報システムのトラブルが起きるかではなく、いつ起きるかである(※)

医療情報システムのセキュリティの考え方として、完全な防御策はないとされています。

「これをしたら完璧である」というソリューションはありませんから、その前提で、どの程度セキュリティのレベルを確保するかを考え、セキュリティ投資の意思決定をしなければなりません。

そのために、専門家の提供する想定被害額を確認することも有効です。被害額や想定されるトラブル頻度を確認したうえで、対策に費やす投資を検討することがよいでしょう。

ここでの投資とは、セキュリティ対策のソフトウエア投資などの財務負担だけでなく、運用検討するための職員負荷的な投資や人材配置も投資と表現しています。

近年、情報システム導入のためのコスト増について、多くの医療機関の経営層は頭を抱えていると思いますが、そこにセキュリティ対策コストの考え方も含めて、より幅広い情報システム投資を計画する必要があります。

セキュリティ対策の分類

セキュリティ対策は3つのフェーズに分類して考えることができます。（図表:セキュリティの考え方）

図表： セキュリティの考え方

1つ目のフェーズは、予防段階です。多くのセキュリティ対策サービスは、ここに分類されます。ウイルス対策ソフトの導入、セキュアな運用ルールの作成・運用、ネットワークやデバイスの制限、さまざまなサービスがあります。

一方、先の考え方によると、どれだけ対策を講じても被害を受ける可能性はゼロにはならないため、実際に情報システムトラブルが発生した時のことも準備しなければなりません。

実際に情報システムトラブルが発生したことを想定し、

• トラブル発生時の対応（図表の2.発生）
• 復旧に向けた対策（図表の3.事後対策）

の対応も考えなければなりません。

トラブル発生時の対応とは、トラブルが発生したことをどのように報告するか、即時対応としてどのような動きをしなければならないか、意思決定の手順や、被害が大きくならないための動き方などを具体的にまとめておくことも有効です。
例えば、警察署や厚生労働省への連絡、院内のトップに連絡するなどの決まり、PCが利用できなかった場合の初動、そういった具体的な動き方や報告ルート・初期検討体制をまとめておくことがこのフェーズでは重要です。

事後対応とは、原因が判明したうえでどのように処理して、復旧していくかの対応になります。再発防止や発生するコストの早期把握など、さまざまなことが考えられます。
EY Japanでは、トラブル発生後の対応について、発生・事後対策を含めた並走サービスや有識者派遣など、プロフェッショナルによるサポートを充実させています。

また、各フェーズの対応マニュアルの作成やその勉強会などの場を提供しております。

(※) 原発事故の有識者の言葉をもとにしたものですが、情報システムのセキュリティにおいて、この考え方が合っていると多くの専門家に支持され、活用されています。

なぜ外部のシステム確認が有効なのか

EY Japanでは、以下のサービスを提供する準備があります。

• 情報システムの安全管理評価(アセスメント)サービス
• 被害時シミュレーション検討サービス
• 医療情報システム等のパッケージシステム確認サービス
• システム監査サービス
• トラブル時の並走サービス
• システム会社とのトラブル時契約の助言指導
• その他セキュリティチェックの協力

繰り返しになりますが、情報セキュリティに対してどのような準備をしても、被害が発生する可能性があります。
医事システム停止などによる財務的な収益減被害だけでなく、風評被害、データの紛失・不正確なデータの可能性などによって提供する医療サービスの質の低下なども発生する懸念があります。

被害発生時には、これまでどのような対策を取ってきたのか、なぜ被害が発生したのか、という議論がされます。
その時、医療機関の経営責任者として、あるいはシステム責任者として、ここまでの対策をしていた、と言えるだけの準備をしておく必要があるのではないでしょうか。

EY Japanでは、第三者のセキュリティ確認を実施することはもちろん、医療機関の情報セキュリティに係る効果的な助言、サービス提供ができることに自信を持っております。