コラム

病院経営に求められる情報漏洩対策

診断結果、病歴、レセプト情報など、機微な個人情報が多い病院内のデータ。
これらデータを漏洩のリスクから守る、適切な情報漏洩対策の構築が求められます。

参考:『2013年情報セキュリティインシデントに関する調査報告書』(NPO日本ネットワークセキュリティ協会)
『医療等分野におけるICT化の推進について』(厚生労働省 平成27年5月29日)
病院で利用するデータは、機微な個人情報が多く含まれる。

病院で蓄積される、電子化された患者様の個人情報は、年々増加します。これらの電子化された個人情報には、診断結果、病歴、レセプト情報など、機微な個人情報が非常に多く含まれており、漏洩すると病院の信用を毀損する可能性もあり、経営にも大きな損失を与える危険性があることから、厳重な管理が求められます。

また今後、高齢者に対する地域の包括的な支援・サービス提供体制(地域包括ケアサービス)が構築されるなかで、医療機関や介護事業者の情報連携が進んでいけば、個人情報の取り扱いの重要性はさらに高まっていくことが予想されます。

病院に蓄積されるデータには、精神的苦痛レベルの高いものが多く含まれる
電子カルテなどの導入拡大により、病院内のPCが急増。

医療機器のIT化イメージ厚生労働省主導で普及が推進されている、電子カルテシステム。2020年度までに400床以上の大規模病院での電子カルテ導入率を90%まで拡大することを目指しており、導入によって使用するPCの台数は急増します。加えて、電子レセプト、画像診断装置などの各種医療機器にもPCが搭載されることが多くなっています。そんななか、多くの病院では一般企業に比べてITシステムや情報セキュリティを管理する担当者の絶対数が不足しており、院内に担当者がいないケースも少なくないため、PCの管理、運用が大きな課題となっています。

マイナンバー、 地域医療連携用ID(仮)の導入で、管理すべき情報はさらに増加。

マイナンバー制度において、個人番号カードに健康保険証の機能を持たせ、医療機関の窓口でカードを提示することで、医療保険資格をオンラインで確認することができる仕組み(オンライン資格確認)が構築される予定(2017年7月以降)です。

また、病院、診療所間の患者情報の共有や、医学研究でのデータ管理などに利用可能な「地域医療連携用ID(仮)」が、マイナンバーと連携するかたちで導入されることも検討されています(2018年度より)。マイナンバー制度を基盤に、医療等分野での情報連携の強化を推進するこのような動きによって、院内で取り扱う情報は今後さらに増え、情報漏洩のリスクも高まると考えられます。

マイナンバー制度
  • ※ マイナンバーは、電子カルテなどでは利用されません。
標的型攻撃によるマルウェア感染の脅威が増大。

国内でも多くの組織が狙われ、被害を受けている標的型攻撃。標的となる組織から機密情報や知的財産などの情報を窃取することを目的に、攻撃者はなりすましメールやWebサイトへのアクセスなどさまざまな手口を用いて組織のPCにマルウェアを感染させ、組織内への侵入を試みます。

その被害は病院・医療機関にも広がりを見せており、実在する団体になりすましたメールを受信した病院職員が添付ファイルを開いてしまい、PCがマルウェアに感染してしまったケースなどが確認されています。今後も攻撃による被害が増えていくことが予想されるなか、適切な対策を講じることが求められます。