医療IT事例2選――「多職種協働」を踏まえたクラウド利用、セキュリティ対策：医療におけるIT活用の“一歩先”とは（1/2 ページ）

医療機関におけるクラウドインフラや情報セキュリティ対策、そして医療の質向上に貢献する電子カルテ活用といった先進的な取り組みをしている医療機関の事例を紹介する。

[三浦優子，著]

　従来、医療分野では情報セキュリティ保護のために、インターネットに接続しないクローズドネットワーク環境を構築するケースが多かった。しかし近年では医療分野でもクラウドインフラや仮想化技術を利用するケースが増えつつあり、自施設のオンプレミス環境をクラウド環境に移行するケースも登場している。

　NECが2017年2月24日に開催した「NEC医療セミナー2017」では、医療機関におけるクラウドサービス利用や情報セキュリティ対策、そして医療の質向上に貢献する電子カルテ活用といった先進的な取り組みをしている医療機関が登壇した。セミナーの講演内容から、医療のIT活用における医療現場特有の課題と、その解決策について紹介する。

併せて読みたいお薦め記事

医療現場にITが浸透しない理由

• 医療現場にITが浸透しない理由――新しいシステムへの恐怖はなぜ生まれるのか？
• IT化が進まない理由――紙が残ってしまうことで、電子カルテの導入効果がダウンする
• 電子カルテへの期待と現実のギャップを埋める3つの方法

医療現場のセキュリティ

• 高度化するデータ侵害に“やられっ放し”の医療現場がやっと対策を本格化
• なぜ小規模病院やクリニックはサイバー攻撃に対して無防備なのか？
• 2017年も被害は続く？　病院を狙うランサムウェア攻撃を防ぐ5つのヒント

国立国際医療研究センターにおける医療情報システムの役割

国立国際医療研究センターの美代賢吾氏

　クラウドインフラの進歩と普及は、医療のIT化においても大きな可能性をもたらす。一方で、巧妙化が進むサイバー攻撃への対処が重要な課題となっている。国立国際医療研究センターの美代賢吾氏は、同センターにおける情報共有とクラウドサービス利用の取り組み、セキュリティ対策の具体例を紹介した。

　国立国際医療研究センターは、国立高度専門医療研究センター（注1）の1つ。フォーカスする診療領域は糖尿病関連疾患や感染症（HIV：ヒト免疫不全ウイルスや肝炎など）、国際感染症（SARS：重症急性呼吸器症候群やエボラ出血熱など）だ。国際感染症の疑いがある患者の受診機会が多い医療機関であるだけに、受付には多言語対応の再来受付機を設置している。これはNECと同センターの共同開発による設備で「病院情報システムと連動し、かつ総合的に5カ国語対応を実現した再来受付システムは全国でも初」と美代氏は話す。

※注1：国立がん研究センター、国立循環器病研究センター、国立精神・神経医療研究センター、国立国際医療研究センター、国立成育医療研究センター、国立長寿医療研究センターの6法人の総称。センターごとに研究所と病院があり、研究活動と医療活動を実施している。

院内の“多職種協働”がセキュリティを複雑にする

　医療機関に所属する職種は極めて多様だ。これが、医療機関のセキュリティが複雑になる要因だと美代氏は指摘する。国立国際医療研究センターに関わる職種を例に挙げると、次の4つに大別できる。

1. 医療職
   • 医師、看護師、診療放射線技師、臨床検査技師など
2. 研究職
   • 研究者としての医師
3. 組織運営管理を行う総務・管理系の事務職
4. 診療報酬請求や診療支援援助業務を行う医療事務職

　1〜4の職種ごとに利用するシステムは異なる。例えば2の研究職は研究用途のシステムを利用し、3の総務・管理系の事務職は事務用途のシステムを利用する。1の医療職と4の医療事務職は、電子カルテをはじめとする医療情報システムを日々の業務で利用するが、それ以外の職種が電子カルテを利用する場面は多くない。システムごとに求められるセキュリティレベルも異なる。

　職員の利用端末もノートPC、タブレット、スマートフォンなどと多岐にわたる。もちろん使用OSも「Windows」「macOS」「iOS」「Android」とさまざまだ。このように端末環境が多様になる理由は、同センターが研究と医療の両方を実践していることがある。端末の購入方法が、次のように多岐にわたるためだ。

• センターの経費で購入
• 研究費で購入
  • 文部科学省、厚生労働省、日本医療研究開発機構（AMED）などからの研究費を利用
• 民間企業との共同研究費で購入（または民間企業からの貸与）
• 自費購入

情報共有とクラウドサービスの活用

　情報共有のためにクラウドサービスを活用する場面では、「センターの外からでもアクセスできる」という利便性と、セキュリティとのバランスを考えることが重要だ。美代氏は情報処理推進機構（IPA）やさまざまなベンダーと共に、医療機関の特性にマッチしたセキュリティの姿を議論してきたという。

　前述の通り医療機関は、ネットワークセキュリティを高める目的でクローズドネットワーク環境を構築するケースが少なくない。だが美代氏は「病院の外から院内のシステムにアクセスできないようにすることが、本当に“安全”なのか」と疑問を投げかけ、「シャドーIT」の問題を指摘する。シャドーITとは、組織内の一般ユーザーがIT部門を通さず、独断でSaaS（Software as a Service）やWebアプリケーションを利用したり、私物端末で業務をしたりする行為のことだ。病院職員に、院外からメールを読ませないようなシステムを構築しても、外部のWebメールサービスを勝手に業務利用される可能性はなくならない。同様に、たとえ院外から院内の情報システムにアクセスできないようにシステムで制限しても、USBフラッシュメモリやファイル共有サービスを利用してデータが持ち出される可能性がある。

　このような課題に対して同センターは、オンプレミス環境のセキュリティだけを強化するアプローチは現実的ではないと考えた。その上で、職種や職位に応じた適切なアクセス権限を管理し、十分なセキュリティと信頼性のあるクラウドサービスを利用するアプローチを選択したのだ。医療機関にとって「信頼できるクラウドサービス」の定義として、美代氏は次の要素を挙げた。

• データセンターが国内にあること
• データの管理体制の厳密さ
  • HIPAA（米国における医療保険の相互運用性と説明責任に関する法令）、BAA（事業提携契約）準拠
• 日本国内法が適用され、日本国内で裁判ができること
• サービスの継続性
  • 東西2拠点にデータセンターがあること

　同センターが導入したシステムは、Microsoftの「Office 365」と、そのセキュリティを強化する多要素認証（MFA）、情報漏えい対策の「Rights Management Services（RMS）」だった（図1）。

図1　システム構成図（出典：美代賢吾氏の講演資料を基に作図）《クリックで拡大》

システム概要と導入効果