電子薬歴導入ガイド » 電子薬歴の基礎知識 » 電子薬歴のデータを安全にやり取りするセキュリティ対策とは?

電子薬歴のデータを安全にやり取りするセキュリティ対策とは?

電子データでの管理を前提とする電子薬歴。システムによってはインターネットに接続して使うタイプもあるため、個人情報が多く含まれた薬歴を管理する際には、十分なセキュリティ対策が必要なことは言うまでもありません。

ここでは、電子薬歴を安全に使うために必要な対策、およびオフライン(紙など)による薬歴管理と比較した場合のリスクについて解説します。システムを選択する際の参考にしてください。

電子薬歴データを安全に管理するための対策

安全に電子薬歴データを管理するためには、十分なセキュリティ対策を施している電子薬歴を導入する必要があります。システムを提供している業者のセキュリティ対策にしっかりと目を通し、最低でも次のような対策を行っているかどうかを確認してから導入するようにしましょう。

情報の盗み見に対する対策

情報の盗み見に対しては、データの暗号化が有効な対策となります。データの暗号化とは、悪意ある第三者がデータを閲覧しようとしても、何が書かれているかを判別できないようにする処理のこと。導入を検討している業者の公式HPをチェックしたり業者に直接問い合わせたりなどし、データが暗号化されているかどうかを確認の上、導入を検討するようにしましょう。

データ送信中における対策

データを送信してから相手にデータが到着するまでの間に、悪意ある第三者に情報を取得されるリスクがあります。このタイプのリスクに対しても、上記のデータ暗号化が有効です。送信中、仮に第三者がデータを取得しても、暗号化された情報は判別することができないからです。

なお、データ送信中のリスクについては、通信事業者における責任が問われる場合もあります。システムだけではなく、利用する通信事業者のセキュリティ体制も確認しておくと良いでしょう。

情報の改ざんに対する対策

悪意ある第三者が、電子薬歴の情報を改ざんするリスクがありますが、このタイプのリスクに対しても、やはりデータの暗号化が有効です。判別できない情報である以上、意図した改ざんをすることは不可能だからです。

紙ベースでの管理のほうが安全か?

上記のようなリスクを耳にすると、「やっぱり今まで通り紙ベースで管理したほうが安全だ」と思う方もいるかもしれません。しかし、果たして紙ベースを維持していれば、本当に上記のようなリスクを回避できるのでしょうか?

紙ベースの場合、たとえば該当する薬歴データを手に取るだけで、誰でも情報を盗み見することができます。盗み見できる状態であれば、内容の改ざんも容易でしょう。

また、紙ベースの情報を別の場所へ移動する際には、紛失や盗難のリスクが伴います。

さらに、情報をクラウドに保存するわけではないので、火災等が発生すれば、データの大半または全部が失われます。

取り扱いに慣れているという点において、「紙ベースのほうがやりやすい」という意見は理解できます。一方で、「紙ベースのほうが安全」という考え方は、あまり実態に即していないかもしれません。

医療機関で実際に起きたサイバー攻撃被害

医療機関では、実際にサイバー攻撃による被害が発生しています。

2022年10月、大阪府立病院機構大阪急性期・総合医療センターでは、ランサムウェアの攻撃を受けました。これにより、電子カルテシステムの障害が発生し、診療業務の一時停止を余儀なくされています。新規外来患者の受付、入院患者の手術など、さまざまな業務に影響がありました。

システムの感染被害状況は、サーバー31台に加え、それに接続する端末を合わせて1300台弱に及びます。

参照元:薬事日報ウェブサイト|サイバー攻撃でデジタル化に隙(https://www.yakuji.co.jp/entry99625.html)

ランサムウェアとは?

大阪府立病院機構大阪急性期・総合医療センターも攻撃被害を受けたランサムウェアとは、「身代金要求型ウィルス」です。「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語で、サイバー攻撃を行い、その解除を引き換えに金銭を要求するのが特徴です。

ランサムウェアは、データを暗号化したり端末にロックを掛けたりします。近年はそれにとどまらず、金銭を支払わなければ盗んだ機密情報を暴露するようなランサムウェアも増加しています。

ランサムウェアへの対策

基本的な情報セキュリティ対策を行ったうえで、ランサムウェア対策として特に押さえておきたいポイントがあります。

まず、セキュリティソフトを過信しないことです。セキュリティソフトを導入するのは基本ですが、だからといって信じすぎるのは良くありません。実際、医療機関や他団体でもセキュリティソフトを導入していても、ウィルスを検知しなかったというケースもあります。

最近はメールでの攻撃も巧妙で、ウィルスであることを見破りにくいメールが増加しています。不審なメールにはすぐ気づけるよう、徹底したセキュリティ教育が必要です。

ランサムウェア対策は、自社だけでなく関係事業者も実施する必要があります。関係事業者にもランサムウェアの危険を伝え、セキュリティの向上を図りましょう。

厚生労働省が定めるセキュリティ対策について

ここからは、厚生労働省が定めるセキュリティ対策について解説していきます。

電子文書へのセキュリティ対策

薬局内でデータを保存する場合

薬局内の電子カルテシステム等でPCなどを用いて記録が作成される場合、入力者及び確定者を正しく識別し、認証を行う必要があります。システムへの入力操作については、 必要な区分に基づいた権限管理(アクセスコントロール)を定めることが求められます。業務を行える端末を管理し、権限を持たないものからのアクセスを防止してください。

特定の装置またはシステムによって記録が作成される場合は、装置の操作者を明確にし、操作者以外による機器の操作を運用上防止しなければなりません。いつ・誰が記録をしたのか、システムの運用を組み合わせて明確にします。

代行入力については承認機能を充実させ、機器・ソフトウェアの管理は徹底します。

クラウドサービス・アプリケーションを利用している場合

近年は、クラウドサービス・外部アプリケーションを利用するケースが増えています。外部アプリケーションや複数のクラウドサービスと連携していると、情報連携の促進が期待される一方で、サイバー攻撃の起点となる恐れもあります。

クラウドサービス・外部アプリケーションを利用している場合は、セキュリティ向上のために、必要に応じてネットワークセキュリティを確保。API連携により、利用できるユーザーやデバイスの範囲を限定します。

サイバー攻撃を受けた場合の対策は?

万が一サイバー攻撃を受けたときは、速やかにサーバーなどの遮断や、外部ネットワークの一時切断を行います。これは、ほかの医療機関などへの影響の波及を防ぐためでもあります。さらに、情報漏洩防止のために、当該混入機器を隔離。業務システムを停止し、被害の確認を行います。

バックアップから情報を復元する際は、数世代バックアップを複数の方式で取得することが重要です。医療機関に導入されるシステムは複雑であり、機関によって運用方法やバックアップの方法もさまざまです。しかし、共通するのは一刻も早く業務を再開することなので、診療のためにすぐに必要な情報を検討し、運用を確実にできるバックアップを確保しておきましょう。

参照元:厚生労働省|医療情報システムの安全管理に関するガイドライン第5.2版(本編)_訂正版(※PDF)(https://www.mhlw.go.jp/content/10808000/000936160.pdf)

2023年4月からサイバーセキュリティ対策が義務化へ

医療機関を対象としたサイバー攻撃が深刻化していることを受け、政府は2023年3月10日に医療法施行規則を改正。改正された条例には医療機関の管理者に対してサイバーセキュリティ確保のための措置を求めており、4月1日からの施行で薬局を含む医療機関のサイバーセキュリティ対策が義務化されることとなりました。

サイバーセキュリティ確保に必要な措置を盛り込んだ「医療情報システムの完全管理に関するガイドライン」(第6.0版)の策定が進められており、2023年5月中旬頃に公表される見込みです。また、ガイドラインをもとに医療機関が優先して取り組むべき事項をまとめた「サイバーセキュリティの確認のためのチェックリスト」も今後公開される予定となっています。

参照元:厚生労働省|医療法施行規則の一部を改正する省令について※PDF
(https://www.mhlw.go.jp/content/10808000/001075881.pdf)

電子薬歴の会社が行っているセキュリティ対策は?

医療機関で起きたサイバー攻撃被害やセキュリティ対策について解説しましたが、ここからは、電子薬歴の会社で行われているセキュリティ対策を紹介します。

VPN接続

電子薬歴の会社では、通信手段にVPN接続を導入しているケースがあります。VPN(Virtual Private Network)は、離れた拠点間で構築される仮想的な専用回線やその技術の総称です。PCやスマホとVPNサーバーの間で暗号化を行い、直結回路を構築します。

VPN接続がセキュリティ対策として強い理由が、通信データの暗号化です。データを暗号化することで、サイバー攻撃を受けても悪用されるリスクを軽減しています。データの復号は決められたユーザーにしかできないため、もし情報を盗まれたとしても内容までわかることはありません。

実際に、薬局で利用されるシステム「エリシアS」では、VPNを通して情報を送信しています。患者の個人情報や薬歴を扱うシステムでは、VPNで暗号化することで信頼性を高めています。

参照元:エリシアS公式HP(https://www.sigma-sol.co.jp/products/elixirs/index.html)

AWSサービス

AWSサービスは、Amazonが提供するサービスです。AWSサービスは世界中の企業で導入されており、セキュリティ面でも信頼性が高いサービスと言えるでしょう。

AWSサービスの強みの一つに、柔軟かつセキュアなクラウドコンピューティングの実現があげられます。社内・社外の情報はもちろん、社内のデバイスやアプリケーションの安全にも配慮し、プラットフォームを構築しています。AWSのセキュリティ環境は専門家によって管理されています。ゼロからセキュリティ体制を構築することを思うと、短時間ではるかに高度なシステムを整備できるのが特徴です。

電子薬歴の「CARADA 電子薬歴」でもセキュリティ対策としてAWSサービスを採用しています。

参照元:CARADA 電子薬歴 Solamichi公式HP(https://site.solamichi.com/systemsecurity)

【まとめ】安全な電子薬歴システムを導入するために

電子薬歴を安全に管理するためには、まず、厚生労働省が定めるガイドラインに準拠したシステムであるかどうかを確認しましょう。準拠しているかどうかが不明瞭である場合には、直接業者に問い合わせをしてみてください。

また、万が一の災害等に備えて、更新したデータが自動バックアップされるかどうかも確認すると良いでしょう。情報改ざんのリスクにも備え、記録を更新した人の名前が残るシステムも必要です。

以上、安全な電子薬歴システムを導入するための参考にしてみてください。

電子薬歴選びの
3つのポイント

調剤薬局でもIT化はとどまるところを知らず、電子薬歴の普及率は80%を超えています(※)。様々な製品が開発・改良される中で、電子薬歴が業務を効率化できるというのは、もはや当たり前。
他方で、一体型、クラウド型、ハイブリッド型といった製品タイプだけで選ぶべきではありません。
製品選びで重要なのは、その上でさらに何を電子薬歴に求めるかなのです。

ここでは、Google検索「電子薬歴」でヒットした36製品を調査(2022年2月9日時点)。「指導文作成を効率化する機能」「処方監査機能」「サポート体制完備」「在宅訪問に対応」といった、基本的な機能が搭載されている電子薬歴の中で、「機能」「費用」「ユーザーコミュニティ」の3つのポイントに沿っておすすめの製品を紹介します。

※参照元:厚生労働省「かかりつけ薬剤師・薬局に関する調査報告書[PDF](https://www.mhlw.go.jp/content/000509233.pdf)
ハイブリッド型
【機能】で選ぶなら
エリシアS
エリシアS

引用元:シグマソリューション公式HP
https://www.sigma-sol.co.jp/products/elixirs/

こんな薬歴
  • 患者一人一人にあわせた指導文を簡単に作成

  • 経営を強化できる機能を
    多数搭載&経営支援も

公式HPで
詳細を見る

電話で製品について
問い合わせる

エリシアSの
機能性について
詳しく見る

クラウド型
【費用】で選ぶなら
MEDIXS®
メディクス

引用元:アクシス公式HP
https://medixs.jp/

こんな薬歴
  • 端末増設時に追加費用

    かからない定額制

  • 均一な薬歴作成を
    図れる
    シンプルな
    製品

公式HPで
詳細を見る

電話で製品について
問い合わせる

MEDIXS®が
費用を抑えられる
理由を見る

クラウド型
【ユーザーコミュニティ】で選ぶなら
Musubi
Musubi

引用元:カケハシ公式HP
https://musubi.kakehashi.life/

こんな薬歴
  • 課題を共有し意見交換ができる
    交流会を開催

  • 各分野の専門講師
    によるセミナーで
    スキルアップ

公式HPで
詳細を見る

電話で製品について
問い合わせる

Musubiの
コミュニティ
の詳細を見る

※選定条件:Google検索「電子薬歴」でヒットした36製品(2022年2月9日時点)のうち、「指導文作成を効率化する機能」「処方監査機能」「サポート体制完備」「在宅訪問に対応」機能が搭載されている電子薬歴の中から、それぞれ以下の条件で選定。
※機能で選ぶなら:指導文について、定型文ではなく自分で考え、編集できる機能が唯一ある
※費用で選ぶなら:端末が増えても追加費用が掛からない電子薬歴の内、更新費用が無料と公式HPに明記されている製品
※ユーザーコミュニティで選ぶなら:ユーザーが参加できる交流会を唯一開催