THE 3Bees POST



クリニックにおける情報セキュリティ対策~今、なぜ情報セキュリティ対策が必要なのか~第2回(全3回)

2017年2月14日 at 1:30 PM

情報セキュリティ対策

第1回はこちら)

個人情報・医療等IDのセキュリティ対策は避けては通れない

医療等分野のIDが発行され、これをもとに情報連携が行われるようになれば、情報セキュリティに対する対応が必須となってきます。特に医療機関では、管理を厳密に行わなければならない患者情報を扱うため、個人情報※1の扱いが重視されます。

東京都の医療法25条第1項の規定に基づく立入検査の自主点検チェックリストでは、「3.個人情報の取扱い関係」として、1.利用目的の特定・公表、2.安全管理措置、従業者の監督、3.委託先の監督、4. 個人データの取扱い、 5.個人情報に関する相談・苦情対応が求められており、東京都平成26年度の立入検査結果では、個人情報について文書指導が56.3%の病院に行われおり、内訳は、従業者の監督(教育未実施)が21.6%、個人上保護規程の整備・公表20.1%、データ漏えい時の報告連絡体制10.1%、組織的安全管理措置6.5%、物理的安全管理措置6.0%の文書指導となっています※2

医療事業者は、個人情報に対しても「マイナンバー」以上のセキュリティ対策が必要

「医療等ID」については、前述のとおり2018年度から段階的な運用が開始され2020年に本格運用が開始される見込みとなっており、本稿執筆時点で詳細は明らかではありません。しかし、すでに導入されている「マイナンバー」の取り扱いでは、従業者が100人以下の中小規模事業者について一部簡略化が認められているものの、組織的安全管理措置として、a.組織体制の整備、b.取扱規程等に基づく運用、c.取扱状況を確認する手段の整備、 d.情報漏えい等事案に対応する体制の整備、 e.取扱状況の把握及び安全管措置の見直しをすることが必要とされ、人的安全管理措置として、a.事務取扱担当者の監督、b.事務取扱担当者の教育、物理的安全管理措置として、a.特定個人情報等を取り扱う区域の管理、b.機器及び電子媒体等の盗難等の防止、c.電子媒体等を持ち出す場合の漏えい等の防止、d. 個人番号の削除、機器及び電子媒体等の廃棄が、技術的安全管理措置として、a.アクセス制御、b.アクセス者の識別と認証、c.外部からの不正アクセス等の防止、d.情報漏えい等の防止を行うことが義務付けられています(表1)。

医療機関においては、取り扱う情報に患者情報等配慮が必要な情報が多く含まれていることから、個人情報の取扱について厚労省がガイドライン(「医療情報システムの安全管理に関するガイドライン 第4.3版 平成28年3月 厚生労働省」)を定めており、医療等IDを含まない通常の個人情報についても、上記のマイナンバーの安全管理に加えて、「医療機関における情報セキュリティマネジメントシステム(ISMS)の実践」「情報の破棄」「情報システムの改造と保守」「情報及び情報機器の持ち出しについて」「災害等の非常時の対応」「外部と個人情報を含む医療情報を交換する場合の安全管理」が、最低限行わなければならない基本的な安全管理措置として定められています。つまり、医療機関においては、医療等IDを含まない一般の個人情報に対する対策だけをとっても、一般のマイナンバー対策以上の情報セキュリティ対策が必要となります。

クリニックをはじめとする医療機関では、情報セキュリティの漏えい事故はUSBを通じて発生することが多数を占めていましたが、ネットワークを通じた情報連携が業務内でも日常的に行われるようになりつつある今、アクセス管理やネットワークを通して発生する攻撃等に対する技術的な対策が必須であり急務となるでしょう。

カテゴリー
具体的措置
1.組織的安全管理措置
  1. 組織体制の整備
  2. 取扱規程等に基づく運用
  3. 取扱状況を確認する手段の整備
  4. 情報漏えい等事案に対応する体制の整備
2.人的安全管理措置
  1. 事務取扱担当者の監督
  2. 事務取扱担当者の教育
3.物理的安全管理措置
  1. 特定個人情報等を取り扱う区域の管理
  2. 機器及び電子媒体等の盗難等の防止
  3. 電子媒体等を持ち出す場合の漏えい等の防止
  4. 個人番号の削除、機器及び電子媒体等の廃棄
4.技術的安全管理措置
  1. アクセス制御
  2. アクセス者の識別と認証
  3. 外部からの不正アクセス等の防止
  4. 情報漏えい等の防止

表 マイナンバー(特定個人情報)で求められている措置

※1 「個人情報」とは、個人情報の保護に関する法律第一章第二条において、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」と定義されています。また、「特定個人情報」とは、マイナンバーをその内容に含む個人情報をいいます。また、今年5月30日に全面改正される個人情報保護法では、従来それだけでは個人情報とされていなかった健康保険の被保険者番号だけでも個人情報となります。
※2 平成26年度医療法定例立入検査の実施状況 東京都福祉保健局より
第3回につづく)
^