実は猶予がない改正個人情報保護法への対応

医療機関にとっては、2017年5月30日に全面施行されることが予定されている「改正個人情報保護法」への対応にも注意が必要です。

医療機関が留意すべき点は、データの数が5,000を超えない場合も対象になることと、要配慮個人情報取扱の厳格化の2点があげられます。今回の改正によって、個人情報が1件でもあれば、小規模な診療所なども例外なく個人情報取扱事業者の義務（利用目的の通知・公表、安全管理体制の構築など）が課せられることになります。

また、新たに定義された「要配慮個人情報」には病歴等が含まれており、小規模な診療所でも一般事業者よりも厳格な管理が求められることになります。著者の知る範囲では、本稿執筆時点ですでに対応できている医療機関はほとんどありません。

なお、個人情報保護委員会では、「個人情報保護法の５つの基本チェックリスト」（表）を公表し、自院や自院のスタッフが個人情報を適切に取り扱っているか、今のうちから確認しておくことを推奨しています。同チェックリストをスタッフへの注意喚起等に利用するとよいでしょう。

技術的対策としてのUTMの導入

現在、サイバー攻撃には、様々なワームやウイルスなど多種なものがあり、日々複雑化、高度化しています。これまでサイバー攻撃への対応策としては「ファイアウォール」という対策が一般的でした。しかしながら、ファイアウォールは、送られてくるパケット（データのかたまり）の情報から接続の許可／拒否を判断し、不正なアクセスであると判断した際には、管理者に通報するというもので、侵入の防御や内部からの漏えいには対応が不十分なものとなっています。

そのため、サイバー攻撃が複雑化、高度化する中で、ファイアウォールのみならず、IDS/IPS^※アンチウィルス、アンチスパム、Webフィルタリングなどを駆使した総合的なセキュリティ対策が必要となってきています。

これら複数の機能を個別に導入・管理していくには、手間もコストも多く必要です。多岐にわたるセキュリティ機能を集約したものが必要であり、その解決策の一つとしてUTM(Unified Threat Management)の導入が考えられます。UTMとは、複数の異なるセキュリティ機能を一つのハードウェアに統合し、集中的にネットワーク管理を行うことをいいます。

医療機関のネットワークは、「医療等ID（仮称）」の導入や「地域医療連携」の推進によりインターネットにつながり始めています。このようなネットワークのオープン化が進むことで、サイバー攻撃は医療機関にとっても大きなリスクとなっています。

医療機関が取り扱いに最大の注意が必要な患者情報を取り扱う以上、規模の大小は関係ありません。患者さまの大切な情報を安全に管理していくためにも、クリニックも病院も総合的にセキュリティ対策が行えるUTMが必要となってきています。

【参考】
▼個人情報の利活用と保護に関するハンドブック（平成28年２月）
http://www.ppc.go.jp/files/pdf/personal_280229sympo_pamph.pdf
▼中小規模事業者向け　個人情報保護法の５つの基本チェックリスト（平成28年10月）
http://www.ppc.go.jp/files/pdf/personal_2810leaf_smallbusinesses.pdf
▼クリニック向けUTM（統合脅威管理）
http://www.3bees.com/utm/