施策進む中で一層求められるセキュアな環境構築─条件的に厳しいクリニック・中小病院の対策では有力企業のソリューション力が最大の味方となる
2025-01-27
※本記事は月刊新医療 2025年1月号にて掲載されたものです。
2025年4月から、かかりつけ医機能報告制度が施行される。対象医療機関は、オンライン資格確認や電子処方箋、電子カルテ情報共有サービスなど、医療DXへの対応が求められているが、そのセキュリティ対策も大きな課題となっている。クリニック・病院情報システムに関する豊富な実績を持つPHCホールディングス傘下のウィーメックスと、最先端のIT技術を持つ日本HPの担当者に、医療ITコンサルタントの大西大輔氏が今後のセキュリティ対策に向けた考えとサービスの在り方を聞いた。
プロダクトマネジメント部 プロダクト戦略課 課長
香川悟朗(かがわ・ごろう)氏
大西大輔氏(以下、大西氏)
2025年4月に「かかりつけ医機能評価制度」が施行されます。医療機関が地域で担う「かかりつけ医機能」を定期的に報告することで、行政が地域ごとの同医機能の状況を把握し、地域全体での医療体制整備が期待されます。今、クリニックや中小規模病院では、従来の外来・入院診療以外に、在宅医療や介護への紹介といった機能が重要になってきています。その一方で、政府はオンライン資格確認、マイナンバー保険証、電子処方箋、電子カルテによる情報共有サービスなど、ネットワーク化を進めていこうとしています。そのためにはネットワークの安全性の担保が重要です。まず、この政府の施策の流れについて、所感をお聞かせください。
香川悟朗氏(以下、香川氏)
政府は、オンライン資格確認から始まり、電子処方箋、3文書6情報に基づく電子カルテ情報共有サービスの開始など、医療関係者間で医療情報を管理・共有できるサービスを推進しています。マイナンバーカードをキーに患者さんが受診した各医療機関の情報を得ることができるようにすることで、医療の質の向上と効率化を推進していると認識しています。しかし、ネットワークによって“誰とでもつながる„ことは便利な反面、セキュリティ・リスクも高まるのは自明です。
新井信勝氏(以下、新井氏)
コロナ禍で多くの産業でリモートワークが浸透する中、医療機関でも院内ネットワークに外部からアクセスしたいというニーズが高まってきました。しかし、そのためにはセキュリティを担保しつつ安全に運用するための仕組み作りが不可欠です。日本HPでは、ハードウェアメーカーとして世界で培ってきた知見を、日本の医療分野でも役立てていただきたいと考えています。
新ガイドラインのリスク・ベースに基づくセキュリティ関連の製品・サービスを提供
大西氏
最終的に全国規模のネットワークが構築されたとき、便利さと引き換えに大きなリスクを背負わなければなりません。政府はそのリスクを喚起するため、医療機関に対して「医療情報システムの安全管理に関するガイドライン第6・0版」を策定、発表しました。このような医療機関におけるセキュリティ対策については、ウィーメックスがユーザー様を守るためにどのようなスタンスで、どのような取り組みを行っているのでしょうか。
香川氏
同ガイドラインでは、システムの安全を担保する考え方について、従来のルール・ベースからリスク・ベースに変わった点が大きいです。実は医療系のシステムを外部と繋げる仕組みは、オンライン請求など以前から存在していました。しかし、当時は直接院内のネットワークには繋がずに専用の別端末を準備することなどのルールに則ることでセキュリティを確保していました。しかし、今やゼロトラストの時代となり、安全なセキュリティを担保するための正解はない時代になっています。
ゼロトラストは、医療を提供する上での『運用』に対しての『リスク』を正確に把握し、許容できないリスクには対策を施すという考え方です。当社でも、特にクリニックなどITに精通したスタッフが不在のユーザー様に対しては、セキュリティに関する情報を提供し、お客様が理解してもらえるようなサービスにシフトしているところです。
ソリューション営業本部 ワークステーション営業部 市場開発担当部長
新井信勝(あらい・のぶかつ)氏
医療情報システムに関する対応状況を示すチェックリストMDS/SDS(製造業者/サービス事業者による医療情報セキュリティ開示書)の提供に際しても、ユーザー様に丁寧に説明し、ユーザー様の状況をレポートして説明するなど、リスク・ベースの考え方に基づいたサービスを提供したいと考えています。
大西氏
日本HPのセキュリティ対策については、いかがでしょうか。
新井氏
当社では、25年前にセキュリティラボを設立して以来セキュリティに関する研究・開発を進めています。例えば、デバイス上でセキュリティ機能を提供するためのモジュールであるTPM(Trusted Platform Module)の仕様策定を Microsoft、Intel、IBMらと共にTCG(Trusted Computing Group)の設立メンバーとしておこない、これは現在 Windows11 の要件として採用されています。また、PCの電源をONにしてからOSが起動する前にハードウェアの管理や制御を行うBIOS(Basic Input / Output System)への攻撃に対する対策として、IT管理者の介入なしに BIOSへの攻撃や破損を自動的に検出、停止、自己回復させるHP独自の「HP Sure Start」という技術を開発してPCやワークステーションに搭載しています。
また、次世代のウイルス対策やフィッシング対策としてマイクロ仮想マシンを使用し、脅威の封じ込めを含む包括的なエンドポイントセキュリティソフトウェアである「HP Wolf Pro Security」を販売し、医療機関にも採用いただいております。このソフトでは、例えばヒューマンエラーで悪意のあるメールやファイルを開いてしまうことにより感染する悪意あるウイルスやマルウェアなどを仮想空間上で封じ込め、システムは全く影響を受けないというものです。
加えて、リモートワークで使用される「HP Anyware」というソリューションは、セキュリティを担保しつつ遅延なく快適にリモートから院内のシステムにアクセスできる仕組みを提供します。このように、HPではゼロトラストの考え方に基づきデバイスを常に信頼できる状態に保ち、ウイルスやマルウェアによる攻撃を受けた際にユーザー様のデータやセキュリティをどう守るか、多彩な製品とサービスを準備しています。
遠隔&クラウド下での利用ニーズに
多様なソリューションとサービスを提供
大西氏
クリニックの医師たちからは、自宅や在宅医療の出先などで電子カルテや医用画像データを参照したいという要望が強まっていると聞きます。ウィーメックスにもそのような要望が多く寄せられていませんか。
香川氏
そのような要望は確かに多く、要望はシーンによって大きく2種類に分かれます。1つは、システムを院内と完全に同じ条件で使用したいというシーン。
もう1つは、情報の参照など一部環境のみのライトな利用シーンです。前者はリモートアクセスが、後者はクラウド環境に情報をUP・参照できるようなシステムが求められています。
大西氏
日本HPは、クラウドシステムについてどのように考えていますか。
新井氏
サーバ、クライアント、クラウド、それぞれに長所があり、これからのシステム・ソリューション構築は、それぞれを上手に組み合わせたものになるでしょう。クラウドだから必ずセキュアであるとは限りません。実際に、最も大事なデータはクラウド上に置かないという企業が数多く存在します。勿論クラウドの便利さもあるので、クラウドとオンプレミスをハイブリッドで使う時代になってくるのではないかと考えています。
「HP Anyware」の導入・運用でセキュアなリモート環境を実現
大西氏
安全な環境で電子カルテを使いたいというニーズに応えた日本HPのユーザーである「いむれ内科クリニック」の事例についてお聞かせください。
大西大輔(おおにし・だいすけ)氏
新井氏
愛知県岡崎市にある「いむれ内科クリニック」様では、クリニック内のサーバやPCに外部から安全にリモートアクセスしたい、診療やレセプトの集計といった事務作業を自宅等でもおこないたいという、ニーズがあったことから、セキュリティの部分を手厚くするために「HP Anyware」を導入していただきました。
「HP Anyware」は、医用画像や診療情報データを暗号化した上でピクセルのみを転送することで、データを外部に出すことなくリモート環境下で院内のサーバやPCにアクセスできます。リモートからのファイルコピーも不可ですので、意図しないデータの漏洩も防ぐことができます。
また、優れた圧縮技術によって画面の再現性が高く、転送データの遅延も少なく、快適に操作できる点がユーザー様から高くご評価いただいています。
ハードやソフトを提供するだけでなく医療者への “IT教育„にも取り組む
大西氏
ウィーメックスも長らくハイブリッドという戦略を立ててきました。今後はハイブリッド型に加え、クラウド型電子カルテも販売されるそうですが、一方で、万一のトラブルやセキュリティ対策について保守担当者がユーザーの施設に駆けつけてくれるサポート体制も重要です。その点について、ウィーメックスのこだわりをお聞かせいただけますか。
香川氏
大きな病院などにはシステム管理者がいて、大抵その方がセキュリティ対策等もマネジメントしていますが、そのようなスタッフが不在の中小規模病院やクリニックにおいては、まず、「セキュリティとは何か」ということを理解してもらう教育的活動も含めて全国にサポート体制を敷くなど、リモートによる遠隔操作や保守担当者がすぐに駆け付けるなどの両面から、きめ細やかなサポートを行っています。
当社のユーザー数は、クリニック、薬局を含めて日本最大級の規模を誇ります。これら多くのユーザー様の医療IT環境をどのようにして守っていくのか、メーカー、代理店、サポート、販社が一体となって、プライドを持って取り組んでいます。
大西氏
クラウドに対する医療関係者の不安への対応についてお聞かせください。
香川氏
医療情報システムの安全管理に関するガイドラインでは、セキュリティに関して、システムの構築やセキュリティ対策も含め、医療機関が責任をもって管理するものであると記載されています。誤解を恐れずに言うと、医療システムベンダーがそのすべての責任を負うことはできず、医療機関様とベンダーが強力なタッグを組んで進めていくものです。
そのような意味で、ユーザー様に対してITに関する様々な情報を提供しながら理解を促すと共に、何かトラブルがあれば当社とユーザー様が共同でそのトラブルを解決するという姿勢でやってきましたし、これからもその姿勢は続けていきます。この「お客様と伴走する」という当社の考え方は、医療情報システムの祖とも言えるレセプトコンピュータを日本で初めて開発した当初から、脈々と受け継がれているものです。
大西氏
ユーザーに対する教育とサポートは一体であるという考え方ですね。
日本HPでは、医療業界向けの情報交換会をコロナ以前から9回実施していますね。情報交換会への参加を通じ、我々業者側が勉強するのは勿論ですが、医療現場側もIT技術について学ぶ必要があると感じます。そのような環境の提供も、両社に求められていると思います。
新井氏
海外の医療ベンダに当社の製品が採用され始めたときから、多くのことを学び、サポートや情報の提供をソリューションベンダーと共に行うことについての知見が蓄積されてきました。
まずは医療現場の皆様が安心してハード・ソフトウェアを利用できる環境を構築した上で、医療現場のニーズを学ばせていただきながらの情報交換会を開催しているところです。当社では、ユーザー様と一緒にソリューションを作り上げていく体制を構築することがハードメーカーの責務と考えています。
香川氏
電子カルテ等、システムやハードを提供する側は、どうしても“自社の商品„のみの説明に留まってしまいがちですが、今回のガイドライン6・0版ではチェックリストを作成して医療機器や医療情報システムを管理する必要があり、それには電子カルテだけでなく、レセコンやPACS等も含まれます。
これらを管理しているのはあくまで医療機関側です。そのような事情から、今後はユーザー様がシステム全体を管理するためのサポートというニーズも出ています。
それ故、当社が納めたシステム以外の医療情報システムや Windows の状況を提示し、システム全体の管理をサポートするサービスも提供していきます。そのような観点から、当社はソフトウェアを提供するだけでなく、医療現場の皆様の課題解決につながるソリューションを今後も提供して参ります。
(文責:月刊新医療 編集部)
※このコンテンツには日本HPの公式見解を示さないものが一部含まれます。また、日本HPのサポート範囲に含まれない内容や、日本HPが推奨する使い方ではないケースが含まれている可能性があります。また、コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。
