電子薬歴のデータを安全にやり取りするセキュリティ対策とは?
電子データでの管理を前提とする電子薬歴。システムによってはインターネットに接続して使うタイプもあるため、個人情報が多く含まれた薬歴を管理する際には、十分なセキュリティ対策が必要なことは言うまでもありません。
ここでは、電子薬歴を安全に使うために必要な対策、およびオフライン(紙など)による薬歴管理と比較した場合のリスクについて解説します。システムを選択する際の参考にしてください。
電子薬歴データを安全に管理するための対策
安全に電子薬歴データを管理するためには、十分なセキュリティ対策を施している電子薬歴を導入する必要があります。システムを提供している業者のセキュリティ対策にしっかりと目を通し、最低でも次のような対策を行っているかどうかを確認してから導入するようにしましょう。
情報の盗み見に対する対策
情報の盗み見に対しては、データの暗号化が有効な対策となります。データの暗号化とは、悪意ある第三者がデータを閲覧しようとしても、何が書かれているかを判別できないようにする処理のこと。導入を検討している業者の公式HPをチェックしたり業者に直接問い合わせたりなどし、データが暗号化されているかどうかを確認の上、導入を検討するようにしましょう。
データ送信中における対策
データを送信してから相手にデータが到着するまでの間に、悪意ある第三者に情報を取得されるリスクがあります。このタイプのリスクに対しても、上記のデータ暗号化が有効です。送信中、仮に第三者がデータを取得しても、暗号化された情報は判別することができないからです。
なお、データ送信中のリスクについては、通信事業者における責任が問われる場合もあります。システムだけではなく、利用する通信事業者のセキュリティ体制も確認しておくと良いでしょう。
情報の改ざんに対する対策
悪意ある第三者が、電子薬歴の情報を改ざんするリスクがありますが、このタイプのリスクに対しても、やはりデータの暗号化が有効です。判別できない情報である以上、意図した改ざんをすることは不可能だからです。
紙ベースでの管理のほうが安全か?
上記のようなリスクを耳にすると、「やっぱり今まで通り紙ベースで管理したほうが安全だ」と思う方もいるかもしれません。しかし、果たして紙ベースを維持していれば、本当に上記のようなリスクを回避できるのでしょうか?
紙ベースの場合、たとえば該当する薬歴データを手に取るだけで、誰でも情報を盗み見することができます。盗み見できる状態であれば、内容の改ざんも容易でしょう。
また、紙ベースの情報を別の場所へ移動する際には、紛失や盗難のリスクが伴います。
さらに、情報をクラウドに保存するわけではないので、火災等が発生すれば、データの大半または全部が失われます。
取り扱いに慣れているという点において、「紙ベースのほうがやりやすい」という意見は理解できます。一方で、「紙ベースのほうが安全」という考え方は、あまり実態に即していないかもしれません。
医療機関で実際に起きたサイバー攻撃被害
医療機関では、実際にサイバー攻撃による被害が発生しています。
2022年10月、大阪府立病院機構大阪急性期・総合医療センターでは、ランサムウェアの攻撃を受けました。これにより、電子カルテシステムの障害が発生し、診療業務の一時停止を余儀なくされています。新規外来患者の受付、入院患者の手術など、さまざまな業務に影響がありました。
システムの感染被害状況は、サーバー31台に加え、それに接続する端末を合わせて1300台弱に及びます。
参照元:薬事日報ウェブサイト|サイバー攻撃でデジタル化に隙(https://www.yakuji.co.jp/entry99625.html)
ランサムウェアとは?
大阪府立病院機構大阪急性期・総合医療センターも攻撃被害を受けたランサムウェアとは、「身代金要求型ウィルス」です。「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語で、サイバー攻撃を行い、その解除を引き換えに金銭を要求するのが特徴です。
ランサムウェアは、データを暗号化したり端末にロックを掛けたりします。近年はそれにとどまらず、金銭を支払わなければ盗んだ機密情報を暴露するようなランサムウェアも増加しています。
ランサムウェアへの対策
基本的な情報セキュリティ対策を行ったうえで、ランサムウェア対策として特に押さえておきたいポイントがあります。
まず、セキュリティソフトを過信しないことです。セキュリティソフトを導入するのは基本ですが、だからといって信じすぎるのは良くありません。実際、医療機関や他団体でもセキュリティソフトを導入していても、ウィルスを検知しなかったというケースもあります。
最近はメールでの攻撃も巧妙で、ウィルスであることを見破りにくいメールが増加しています。不審なメールにはすぐ気づけるよう、徹底したセキュリティ教育が必要です。
ランサムウェア対策は、自社だけでなく関係事業者も実施する必要があります。関係事業者にもランサムウェアの危険を伝え、セキュリティの向上を図りましょう。
厚生労働省が定めるセキュリティ対策について
ここからは、厚生労働省が定めるセキュリティ対策について解説していきます。
電子文書へのセキュリティ対策
薬局内でデータを保存する場合
薬局内の電子カルテシステム等でPCなどを用いて記録が作成される場合、入力者及び確定者を正しく識別し、認証を行う必要があります。システムへの入力操作については、 必要な区分に基づいた権限管理(アクセスコントロール)を定めることが求められます。業務を行える端末を管理し、権限を持たないものからのアクセスを防止してください。
特定の装置またはシステムによって記録が作成される場合は、装置の操作者を明確にし、操作者以外による機器の操作を運用上防止しなければなりません。いつ・誰が記録をしたのか、システムの運用を組み合わせて明確にします。
代行入力については承認機能を充実させ、機器・ソフトウェアの管理は徹底します。
クラウドサービス・アプリケーションを利用している場合
近年は、クラウドサービス・外部アプリケーションを利用するケースが増えています。外部アプリケーションや複数のクラウドサービスと連携していると、情報連携の促進が期待される一方で、サイバー攻撃の起点となる恐れもあります。
クラウドサービス・外部アプリケーションを利用している場合は、セキュリティ向上のために、必要に応じてネットワークセキュリティを確保。API連携により、利用できるユーザーやデバイスの範囲を限定します。
サイバー攻撃を受けた場合の対策は?
万が一サイバー攻撃を受けたときは、速やかにサーバーなどの遮断や、外部ネットワークの一時切断を行います。これは、ほかの医療機関などへの影響の波及を防ぐためでもあります。さらに、情報漏洩防止のために、当該機器を隔離。業務システムを停止し、被害の確認を行います。
バックアップから情報を復元する際は、数世代バックアップを複数の方式で取得することが重要です。医療機関に導入されるシステムは複雑であり、機関によって運用方法やバックアップの方法もさまざまです。しかし、共通するのは一刻も早く業務を再開することなので、診療のためにすぐに必要な情報を検討し、運用を確実にできるバックアップを確保しておきましょう。
参照元:【PDF】厚生労働省公式HP「医療情報システムの安全管理に関するガイドライン第5.2版(本編)_訂正版」(https://www.mhlw.go.jp/content/10808000/000936160.pdf)
2023年4月からサイバーセキュリティ対策が義務化へ
医療機関を対象としたサイバー攻撃が深刻化していることを受け、政府は2023年3月10日に医療法施行規則を改正。改正された省令には医療機関の管理者に対してサイバーセキュリティ確保のための措置を求めており、4月1日からの施行で薬局を含む医療機関のサイバーセキュリティ対策が義務化されることとなりました。
サイバーセキュリティ確保に必要な措置を盛り込んだ「医療情報システムの安全管理に関するガイドライン」(第6.0版)の策定が進められており、2023年5月中旬頃に公表される見込みです。また、ガイドラインをもとに医療機関が優先して取り組むべき事項をまとめた「サイバーセキュリティの確認のためのチェックリスト」も今後公開される予定となっています。
参照元:【PDF】厚生労働省公式HP「医療法施行規則の一部を改正する省令について」(https://www.mhlw.go.jp/content/10808000/001075881.pdf)
電子薬歴の会社が行っているセキュリティ対策は?
医療機関で起きたサイバー攻撃被害やセキュリティ対策について解説しましたが、ここからは、電子薬歴の会社で行われているセキュリティ対策を紹介します。
VPN接続
電子薬歴の会社では、通信手段にVPN接続を導入しているケースがあります。VPN(Virtual Private Network)は、離れた拠点間で構築される仮想的な専用回線やその技術の総称です。PCやスマホとVPNサーバーの間で暗号化を行い、直結回路を構築します。
VPN接続がセキュリティ対策として強い理由が、通信データの暗号化です。データを暗号化することで、サイバー攻撃を受けても悪用されるリスクを軽減しています。データの復号は決められたユーザーにしかできないため、もし情報を盗まれたとしても内容までわかることはありません。
実際に、薬局で利用されるシステム「エリシアS」では、VPNを通して情報を送信しています。患者の個人情報や薬歴を扱うシステムでは、VPNで暗号化することで信頼性を高めています。
参照元:エリシアS公式HP(https://www.sigma-sol.co.jp/products/elixirs/index.html)
AWSサービス
AWSサービスは、Amazonが提供するサービスです。AWSサービスは世界中の企業で導入されており、セキュリティ面でも信頼性が高いサービスと言えるでしょう。
AWSサービスの強みの一つに、柔軟かつセキュアなクラウドコンピューティングの実現があげられます。社内・社外の情報はもちろん、社内のデバイスやアプリケーションの安全にも配慮し、プラットフォームを構築しています。AWSのセキュリティ環境は専門家によって管理されています。ゼロからセキュリティ体制を構築することを思うと、短時間ではるかに高度なシステムを整備できるのが特徴です。
電子薬歴の「CARADA 電子薬歴」でもセキュリティ対策としてAWSサービスを採用しています。
参照元:CARADA 電子薬歴 Solamichi公式HP(https://site.solamichi.com/systemsecurity)
【まとめ】安全な電子薬歴システムを導入するために
電子薬歴を安全に管理するためには、まず、厚生労働省が定めるガイドラインに準拠したシステムであるかどうかを確認しましょう。準拠しているかどうかが不明瞭である場合には、直接業者に問い合わせをしてみてください。
また、万が一の災害等に備えて、更新したデータが自動バックアップされるかどうかも確認すると良いでしょう。情報改ざんのリスクにも備え、記録を更新した人の名前が残るシステムも必要です。
以上、安全な電子薬歴システムを導入するための参考にしてみてください。
次世代の電子薬歴
操作性が格段に向上しただけでなく、AIの導入も進む現在の電子薬歴。多機能だけに、どのシステムが自局の目指す薬局運営に適しているのかの判断が難しくなっています。
当メディアでは、次世代の電子薬歴を徹底調査。 自局の目指す経営に適した電子薬歴システムを、わかりやすく解説します。
導入すべき
電子薬歴システム3選
当メディアでは、AIによる自動の薬歴反映などの新しい機能を搭載した次世代の電子薬歴システムを調査。
これからの薬局が目指すべき経営の方向性、「加算指導の強化」「服薬指導の強化」「在宅指導の強化」を支援できる3つの電子薬歴システムについて徹底解説します。
を強化するなら
【EMシステムズ】
引用元:MAPs for PHARMACY DX公式HP https://service.emsystems.co.jp/maps_series/for_pharmacy_dx/
- ハイリスク薬の副作用や観察項目がひと目で分かり、重複投薬・相互作用のチェック結果とあわせ、加算取得に必要な指導ポイントを確実に押さえられる。薬剤師の経験差による抜け漏れを抑え、全店で加算指導強化が実現。
- 自動の処方鑑査支援が、検査値に基づく投与量の妥当性や禁忌を自動チェックし、過誤の芽を早期に発見。監査の質を安定させながら負担も軽減でき、薬局としての安全性と信頼性の向上につながる。
を強化するなら
【solamichi】
引用元:CARADA 電子薬歴 ソラミチHP https://site.solamichi.com/
- 患者の年齢・疾患・併用薬などの背景を踏まえた服薬指導が自動で提示。飲み忘れ時の対応、生活上のアドバイスなど、多面的な指導パターンが複数提示されるため、経験に左右されない質の高い指導が実現。
- 服薬フォローでは、患者ごとに連絡が取りやすい手段(SMS・LINE)を選べるため、より確実な指導が実現。過去のやり取り履歴を踏まえたフォローが作成できる設計で、よりきめ細かな継続指導が行える。
を強化するなら
【カケハシ】
引用元:Musubi公式HP https://musubi.kakehashi.life/
- 在宅医療に特化した画面設計で、訪問時の患者情報確認が1画面で完結。画面遷移が少なく済み、患者との対話に集中しやすくなる。
- 処方薬と頭書き情報を元に、栄養・運動・生活習慣など、在宅患者の暮らしのための健康アドバイスを自動で提示。訪問前に確認できるため、患者の生活環境や課題を踏まえた対話がしやすくなり、在宅ならではの支援につながる。
