4月19日~21日にかけて、東京都内にて開催された「ヘルスケアIT 2017」において、「これからの医療ICTの広がりと医療情報のセキュリティ対応を考える~医療情報の利用を阻害しない安全対策~」と題する講演を行ったのは、福井大学 医学部附属病院 医療情報部副部長/准教授 総合情報基盤センター 副センター長の山下芳範氏だ。

安心できない!? 医療機器のセキュリティ事情

クラウドやIoTという言葉が広く普及し、ICT活用が急速に発展している。これは、医療介護分野も例外ではない。それに伴い、電子カルテや画像のように目に見える情報だけでなく、機器や通信のなかにも個人を識別できる情報が多く存在するようになってきた。ICT活用が広がるなかで、医療情報をどのように守るかが大きな課題となってきているのである。

ここ数年、国の方針も含めて医療へのICT導入が進んでおり、病院には治療に使う医療機器以外にもさまざまなシステムが存在する。代表的なものは電子カルテだが、その裏では数多くの連携したシステムが稼働している。そうした病院情報システムでは、PCやサーバのスペックには関心が向くものの、ネットワークについては「オマケ扱い」であるケースが少なくない。

山下氏は、こうした状況に対し、「一般的に、インターネットに接続していない病院のシステムは安全だと思われていますが、決してそんなことはありません。実際にリスクを示すさまざまな事象が起きています」と懸念を示す。

福井大学 医学部附属病院 医療情報部副部長/准教授 総合情報基盤センター 副センター長 山下芳範氏

また、山下氏が指摘する医療ICTのリスクは、ネットワークの問題だけではない。例えば、USBメモリやDVD・CDなどによる医療機関間でのデータの受け渡しを基本的には禁止していたとしても、全てのクライアント端末やサーバを管理するのは難しい。また、クライアント/サーバ方式のシステムであれば、いずれかの端末にデータが残っている可能性もある。

「複数あるシステム端末の管理レベルが統一されていないケースが見受けられます。また、インターネットに接続されていないがために、逆にウイルス対策が十分でない端末も存在しやすくなってしまいます」と、山下氏は指摘する。

さらに、国の成長戦略では医療ICTやe-Healthの推進がうたわれており、多くの医療機関でも医療機器のIoT化が進められている。山下氏は「今、Winndowsベースで構成される医療機器そのものもネットワークにつながるようになっています。つまり、医療機器もPCと大きく変わらないということです」と説明する。

ここで問題となるのが、そうした医療機器の統一的な管理ができていないことだ。例えば、医療機器は特別な存在だからと管理の目が届いていなかったり、薬事承認がいるからとセキュリティパッチの適用などができていなかったり、といった具合である。

「しかし……」と山下氏は続ける。

「言うまでもなく医療機器は止めてはならないシステムのはずです。それが適切に管理がなされていない状況で、本当に良いのでしょうか」