電子薬歴のデータを安全にやり取りするセキュリティ対策とは?
電子データでの管理を前提とする電子薬歴。システムによってはインターネットに接続して使うタイプもあるため、個人情報が多く含まれた薬歴を管理する際には、十分なセキュリティ対策が必要なことは言うまでもありません。
ここでは、電子薬歴を安全に使うために必要な対策、およびオフライン(紙など)による薬歴管理と比較した場合のリスクについて解説します。システムを選択する際の参考にしてください。
電子薬歴データを安全に管理するための対策
安全に電子薬歴データを管理するためには、十分なセキュリティ対策を施している電子薬歴を導入する必要があります。システムを提供している業者のセキュリティ対策にしっかりと目を通し、最低でも次のような対策を行っているかどうかを確認してから導入するようにしましょう。
情報の盗み見に対する対策
情報の盗み見に対しては、データの暗号化が有効な対策となります。データの暗号化とは、悪意ある第三者がデータを閲覧しようとしても、何が書かれているかを判別できないようにする処理のこと。導入を検討している業者の公式HPをチェックしたり業者に直接問い合わせたりなどし、データが暗号化されているかどうかを確認の上、導入を検討するようにしましょう。
データ送信中における対策
データを送信してから相手にデータが到着するまでの間に、悪意ある第三者に情報を取得されるリスクがあります。このタイプのリスクに対しても、上記のデータ暗号化が有効です。送信中、仮に第三者がデータを取得しても、暗号化された情報は判別することができないからです。
なお、データ送信中のリスクについては、通信事業者における責任が問われる場合もあります。システムだけではなく、利用する通信事業者のセキュリティ体制も確認しておくと良いでしょう。
情報の改ざんに対する対策
悪意ある第三者が、電子薬歴の情報を改ざんするリスクがありますが、このタイプのリスクに対しても、やはりデータの暗号化が有効です。判別できない情報である以上、意図した改ざんをすることは不可能だからです。
紙ベースでの管理のほうが安全か?
上記のようなリスクを耳にすると、「やっぱり今まで通り紙ベースで管理したほうが安全だ」と思う方もいるかもしれません。しかし、果たして紙ベースを維持していれば、本当に上記のようなリスクを回避できるのでしょうか?
紙ベースの場合、たとえば該当する薬歴データを手に取るだけで、誰でも情報を盗み見することができます。盗み見できる状態であれば、内容の改ざんも容易でしょう。
また、紙ベースの情報を別の場所へ移動する際には、紛失や盗難のリスクが伴います。
さらに、情報をクラウドに保存するわけではないので、火災等が発生すれば、データの大半または全部が失われます。
取り扱いに慣れているという点において、「紙ベースのほうがやりやすい」という意見は理解できます。一方で、「紙ベースのほうが安全」という考え方は、あまり実態に即していないかもしれません。
医療機関で実際に起きたサイバー攻撃被害
医療機関では、実際にサイバー攻撃による被害が発生しています。
2022年10月、大阪府立病院機構大阪急性期・総合医療センターでは、ランサムウェアの攻撃を受けました。これにより、電子カルテシステムの障害が発生し、診療業務の一時停止を余儀なくされています。新規外来患者の受付、入院患者の手術など、さまざまな業務に影響がありました。
システムの感染被害状況は、サーバー31台に加え、それに接続する端末を合わせて1300台弱に及びます。
参照元:薬事日報ウェブサイト|サイバー攻撃でデジタル化に隙(https://www.yakuji.co.jp/entry99625.html)
ランサムウェアとは?
大阪府立病院機構大阪急性期・総合医療センターも攻撃被害を受けたランサムウェアとは、「身代金要求型ウィルス」です。「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語で、サイバー攻撃を行い、その解除を引き換えに金銭を要求するのが特徴です。
ランサムウェアは、データを暗号化したり端末にロックを掛けたりします。近年はそれにとどまらず、金銭を支払わなければ盗んだ機密情報を暴露するようなランサムウェアも増加しています。
ランサムウェアへの対策
基本的な情報セキュリティ対策を行ったうえで、ランサムウェア対策として特に押さえておきたいポイントがあります。
まず、セキュリティソフトを過信しないことです。セキュリティソフトを導入するのは基本ですが、だからといって信じすぎるのは良くありません。実際、医療機関や他団体でもセキュリティソフトを導入していても、ウィルスを検知しなかったというケースもあります。
最近はメールでの攻撃も巧妙で、ウィルスであることを見破りにくいメールが増加しています。不審なメールにはすぐ気づけるよう、徹底したセキュリティ教育が必要です。
ランサムウェア対策は、自社だけでなく関係事業者も実施する必要があります。関係事業者にもランサムウェアの危険を伝え、セキュリティの向上を図りましょう。
厚生労働省が定めるセキュリティ対策について
ここからは、厚生労働省が定めるセキュリティ対策について解説していきます。
電子文書へのセキュリティ対策
薬局内でデータを保存する場合
薬局内の電子カルテシステム等でPCなどを用いて記録が作成される場合、入力者及び確定者を正しく識別し、認証を行う必要があります。システムへの入力操作については、 必要な区分に基づいた権限管理(アクセスコントロール)を定めることが求められます。業務を行える端末を管理し、権限を持たないものからのアクセスを防止してください。
特定の装置またはシステムによって記録が作成される場合は、装置の操作者を明確にし、操作者以外による機器の操作を運用上防止しなければなりません。いつ・誰が記録をしたのか、システムの運用を組み合わせて明確にします。
代行入力については承認機能を充実させ、機器・ソフトウェアの管理は徹底します。
クラウドサービス・アプリケーションを利用している場合
近年は、クラウドサービス・外部アプリケーションを利用するケースが増えています。外部アプリケーションや複数のクラウドサービスと連携していると、情報連携の促進が期待される一方で、サイバー攻撃の起点となる恐れもあります。
クラウドサービス・外部アプリケーションを利用している場合は、セキュリティ向上のために、必要に応じてネットワークセキュリティを確保。API連携により、利用できるユーザーやデバイスの範囲を限定します。
サイバー攻撃を受けた場合の対策は?
万が一サイバー攻撃を受けたときは、速やかにサーバーなどの遮断や、外部ネットワークの一時切断を行います。これは、ほかの医療機関などへの影響の波及を防ぐためでもあります。さらに、情報漏洩防止のために、当該混入機器を隔離。業務システムを停止し、被害の確認を行います。
バックアップから情報を復元する際は、数世代バックアップを複数の方式で取得することが重要です。医療機関に導入されるシステムは複雑であり、機関によって運用方法やバックアップの方法もさまざまです。しかし、共通するのは一刻も早く業務を再開することなので、診療のためにすぐに必要な情報を検討し、運用を確実にできるバックアップを確保しておきましょう。
参照元:厚生労働省|医療情報システムの安全管理に関するガイドライン第5.2版(本編)_訂正版(※PDF)(https://www.mhlw.go.jp/content/10808000/000936160.pdf)
2023年4月からサイバーセキュリティ対策が義務化へ
医療機関を対象としたサイバー攻撃が深刻化していることを受け、政府は2023年3月10日に医療法施行規則を改正。改正された条例には医療機関の管理者に対してサイバーセキュリティ確保のための措置を求めており、4月1日からの施行で薬局を含む医療機関のサイバーセキュリティ対策が義務化されることとなりました。
サイバーセキュリティ確保に必要な措置を盛り込んだ「医療情報システムの完全管理に関するガイドライン」(第6.0版)の策定が進められており、2023年5月中旬頃に公表される見込みです。また、ガイドラインをもとに医療機関が優先して取り組むべき事項をまとめた「サイバーセキュリティの確認のためのチェックリスト」も今後公開される予定となっています。
参照元:厚生労働省|医療法施行規則の一部を改正する省令について※PDF
(https://www.mhlw.go.jp/content/10808000/001075881.pdf)
電子薬歴の会社が行っているセキュリティ対策は?
医療機関で起きたサイバー攻撃被害やセキュリティ対策について解説しましたが、ここからは、電子薬歴の会社で行われているセキュリティ対策を紹介します。
VPN接続
電子薬歴の会社では、通信手段にVPN接続を導入しているケースがあります。VPN(Virtual Private Network)は、離れた拠点間で構築される仮想的な専用回線やその技術の総称です。PCやスマホとVPNサーバーの間で暗号化を行い、直結回路を構築します。
VPN接続がセキュリティ対策として強い理由が、通信データの暗号化です。データを暗号化することで、サイバー攻撃を受けても悪用されるリスクを軽減しています。データの復号は決められたユーザーにしかできないため、もし情報を盗まれたとしても内容までわかることはありません。
実際に、薬局で利用されるシステム「エリシアS」では、VPNを通して情報を送信しています。患者の個人情報や薬歴を扱うシステムでは、VPNで暗号化することで信頼性を高めています。
参照元:エリシアS公式HP(https://www.sigma-sol.co.jp/products/elixirs/index.html)
AWSサービス
AWSサービスは、Amazonが提供するサービスです。AWSサービスは世界中の企業で導入されており、セキュリティ面でも信頼性が高いサービスと言えるでしょう。
AWSサービスの強みの一つに、柔軟かつセキュアなクラウドコンピューティングの実現があげられます。社内・社外の情報はもちろん、社内のデバイスやアプリケーションの安全にも配慮し、プラットフォームを構築しています。AWSのセキュリティ環境は専門家によって管理されています。ゼロからセキュリティ体制を構築することを思うと、短時間ではるかに高度なシステムを整備できるのが特徴です。
電子薬歴の「CARADA 電子薬歴」でもセキュリティ対策としてAWSサービスを採用しています。
参照元:CARADA 電子薬歴 Solamichi公式HP(https://site.solamichi.com/systemsecurity)
【まとめ】安全な電子薬歴システムを導入するために
電子薬歴を安全に管理するためには、まず、厚生労働省が定めるガイドラインに準拠したシステムであるかどうかを確認しましょう。準拠しているかどうかが不明瞭である場合には、直接業者に問い合わせをしてみてください。
また、万が一の災害等に備えて、更新したデータが自動バックアップされるかどうかも確認すると良いでしょう。情報改ざんのリスクにも備え、記録を更新した人の名前が残るシステムも必要です。
以上、安全な電子薬歴システムを導入するための参考にしてみてください。
おすすめの電子薬歴システム3選
近年、調剤薬局の形態も多様化しており、様々なタイプに分かれています。
ここではそんな薬局を以下の3タイプに分類し、それぞれにおすすめの電子薬歴をご紹介します。
薬局向け
引用元:シグマソリューション公式HP
https://www.sigma-sol.co.jp/products/elixirs/index.html
便利な機能例
- AIが自動で指導文の入力補助をしてくれる(特許取得)
- 複数人が遠隔で同一の処方箋を入力できる(特許取得)
- ビッグデータを用いて、監査にかかった薬品の同種同効薬を即確認したり、薬品名から推測される疾患名をサジェスト
一気に業務効率化できる!
ドラックストアにおすすめ
引用元:メディクス公式HP
https://medixs.jp/
便利な機能例
- AIによる在庫管理機能で、OCT薬と処方薬・医薬品と通常商品などを分かりやすく把握できる
- 業務分析、収益分析、患者分析など各店舗の状況をクラウドに自動集計してレポートしてくれる
データドリブンな経営ができる!
調剤薬局 におすすめ
Solamichi
引用元:Solamichi公式HP
https://site.solamichi.com/
便利な機能例
- 計画書や報告書、介護契約書をテンプレートから簡単に作成できる
- タブレットで写真撮影→薬歴に保存→PCで確認できる
- 施設の棲み分けや後発品希望など、患者を分かりやすく分類できる
丁寧な服薬指導ができる!
