【医療情報システムの安全管理に関するガイドラインを読み解く】 診療報酬改定で義務化!医療情報システム安全管理責任者の配置とセキュリティ研修
2022(令和4)年3月4日に診療報酬が改定されました。近年増え続ける医療機関へのサイバー攻撃を考慮し、「診療録管理体制加算の見直し」の要件として、セキュリティ研修を実施することや医療情報システム安全管理責任者を配置することが付け加えられています。
医療機関向けのセキュリティ研修はどのように実施していったらいいのでしょうか。本コラムでは、医療機関が行うべき対応策について解説します。
令和4年度の診療報酬改定で、専任責任者の配置とセキュリティ研修実施が義務化
令和4年度診療報酬改定をうけ、「診療録管理体制加算の見直し」の要件として、400床以上の保険医療機関に対して、専任の医療情報システム安全管理責任者の配置と、職員を対象とした情報セキュリティ研修(最低年1回)の実施を必須としています。
その背景の一つには、2021年10月、徳島県つるぎ町立半田病院のサーバーがランサムウェアに感染したことが挙げられます。同病院では、約8万5,000人分の患者情報が暗号化され、犯人から身代金を要求されるといった被害が発生しました。
ランサムウェアについて詳しくはこちらから
この半田病院に対するサイバー攻撃の事例では、2021年10月31日に電子カルテシステムなどに対する被害が発覚していますが、システムを復旧し再稼働できたのは2022年1月4日でした。約2か月にわたって病院業務が滞ってしまったのです。
このように復旧まで時間がかかってしまった理由には、半田病院にIT担当者が1人しかおらず、インシデントに対応する専門家がいない状態だったことが挙げられています。ただ、このような実情を知りながら、同病院に関わっていたITベンダーが支援しなかったことも大きな要因であり、IT運用に対するリスクマネジメントが機能不全に陥っていたと見られています。
対象の医療機関・要件について
2016年以降、半田病院への被害に加え、国内だけで少なくとも11の医療機関がサイバー攻撃の被害に遭っていたことが判明しています。
厚生労働省ではこのような事態を重く見て、許可病床数が400床以上の保険医療機関に対しては、診療管理体制加算1の施設基準の中に下記の2点を盛り込み、対応することを求めています。
- 専任の医療情報システム安全管理者を配置すること
- 定期的に(少なくとも年1回程度)情報セキュリティ研修を実施していること
また、非常時に備えた医療情報システムのバックアップ体制を確保しておくことが望ましいとしており、毎年7月に医療情報システムのバックアップ体制などについての定例報告を行うことが必要とされています。
厚生労働省による医療機関向けサイバーセキュリティ研修用動画・教材
厚生労働省では医療機関のセキュリティリテラシーを上げていくために、医療機関向けのサイバーセキュリティ研修用動画・教材を公開しています。
厚生労働省が公開しているこのWebサイト上では、「令和2年度医療分野におけるサイバーセキュリティ対策調査事業」で、eラーニングなどに使われていた教材をダウンロードできるようになっています。
その内容は、医療機関の経営者向け、システム管理者・セキュリティ管理者向け、医療従事者向けと対象者別に分けられた動画や資料、理解度テストなどです。
これらを視聴および活用することにより、医療機関のサイバーセキュリティ対策について基礎的な知識を得られます。ただし、このような基礎的な内容だけで医療機関のセキュリティ研修・教育が十分であるとはいえません。
組織・個人のセキュリティリテラシー向上を実現するセキュリティ教育サービス
厚生労働省が公開しているサイバーセキュリティ研修用動画・教材はすべての医療機関に対応する汎用的なものです。サイバーセキュリティの基本的な知識を網羅していますが、実際にはこうした基礎知識に加えて、病院ごとのIT環境や組織に合わせた研修カリキュラムが求められます。
病院ごとのセキュリティポリシーに合わせた専用のセキュリティ研修カリキュラムが必要とされる今、おすすめしたいのが、スタッフ、医師などのセキュリティリテラシーレベルに合わせた研修を行うことができるシーイーシーの「セキュリティ教育サービス」です。
本教育サービスは準備から研修実施・報告まで最短3カ月で実施できます。医療機関のセキュリティポリシーやガイドラインをベースに教育カリキュラムを作成するため、スタッフや医師のリテラシーに沿った集合研修を行えるのがメリットです。
企業や団体がセキュリティ脅威にさらされたとき、個人のセキュリティリテラシーが低い場合、事態はさらに悪化してしまいます。そこで本セキュリティ教育サービスでは、組織的な脅威に対する教育はもちろん、個人のリテラシー向上にも重点を置いた教育カリキュラムを作成し、セキュリティコンサルタントがわかりやすく解説していきます。
シーイーシーのセキュリティ教育サービスでは、講師1名、コンテンツ制作がセットになったフルオーダープランとセミオーダープランをご用意しているため、教育目標や予算に応じてお選びいただけます。
今、医療機関のサイバーセキュリティ教育が必要不可欠なものになっています。ぜひこの機会に、「セキュリティ教育サービス」をご検討ください。本サービスを活用することで、パブリックからプライベートまでの全方位セキュリティリテラシーをレベルアップできます。
お役立ち資料
【医療機関向け】セキュリティ教育サービス
組織・個人のセキュリティリテラシー向上を図る
病院のセキュリティポリシーやガイドラインをベースに教育カリキュラムを作成し、職員のリテラシーに沿った集合研修を提供します。そのほか、増大する医療機関のセキュリティリスクをICTで解決する、さまざまなソリューションのカタログもダウンロードいただけます。