病院へのサイバー攻撃も増えている。ちょっとしたシステム上の異変を見逃しただけで、長期の診療中止につながる恐れも。そんな異変にいち早く気付くためには、システムに精通した人材が欠かせない。医療情報の人材に詳しい東京医療保健大学医療保健学部医療情報学科の瀬戸僚馬教授に、現状と課題を聞いた。【川畑悟史】

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　東京医療保健大学医療保健学部医療情報学科・瀬戸教授

－サイバー攻撃に遭っても、その被害に気付かなければ対策は後手に回ります。それだけにシステム部門の人材をそろえることが大切になりますが、病院での人材確保の現状をどう見ていますか。

　自院にシステムエンジニア（SE）を置くかは別として、システム担当で何らかの人材を確保することになる。ただ、病院では事務職員が兼務するケースも多い。しかし、スキル・経験に大きなばらつきがあり、SEとして十分な能力がある人がいる一方で、他の職員よりコンピューターが少し得意という程度の人もいる。ただ、病院でSEレベルの職員がいることは少なく、多くはコンピューターが得意な人が兼務しているのが実情だ。

－病院内でのIＴ化が進む中、なぜ専門職としてSEの配置が進まないのですか。

　SEを置かなければいけないという認識がないのだろう。複数の病院がサイバー攻撃に遭っても、どこかで自院は大丈夫と思っている病院管理者は少なくない。2021年にサイバー攻撃された徳島県内の病院では電子カルテに大きな被害が出たが、電子カルテを導入していないからといって自院は大丈夫という話ではない。

　医療情報システムの歴史は、医事会計システムから始まって、検査システム、オーダーに広がり、電子カルテという4段階がある。検査システムまでの2段階目まではどの病院でもあり、コンピューターウイルスに感染する危険性は電子カルテ同様にある。

　もっとも、こうしたセキュリティーなどの安全コストへの投資は、どこまでやればいいのかの見極めが難しい。ゼロリスクはそもそもあり得ず、リスク受容の問題になる。どのぐらいのお金をかければいいのか。この判断が非常に難しいから、削れるものは削った方がいいという発想も根強く、セキュリティー対策への投資が進まないというのが実情だ。

　ただ、それが民間企業だと会社の方向性を自分たちで作っていくから、自分たちの経営判断で投資をするという極めて自然な話になる。しかし、医療機関はどうしても診療報酬の影響を受けるため、攻めの経営というよりは、キャッチアップを確実に行う守りの経営手法も多く、診療報酬制度に求められていないようなものに投資するというのは、ちょっと腰が重いところもあるのは事実だ。

－システム部門の人材確保については、まずは診療報酬次第ということですか。

　病院が人材確保に動きやすい環境整備としては、そうだ。その動きが22年度の診療報酬改定で見え始めている。診療録管理体制加算１に関する施設基準に、許可病床数が400床以上の保険医療機関で、厚生労働省の「医療情報システムの安全管理に関するガイドライン」に基づき、専任の医療情報システム安全管理責任者を置くことが追加された。

　非常時に備えたサイバーセキュリティー対策が義務化されることは、どの病院にとっても意識付けになる。

　　責任者を400床以上の病院に置くことはいいことだが、各病院の課題は誰を責任者とするかだ。運用管理規程上は、病院長が最終的な責任者になるが、ここで求められる責任者はサイバー攻撃に遭った場合でも実務的なことが分かる職員だ。実務では、事務系でシステムを担当する係長職や主任職相当の職員になるだろうが、その立場で本当に対応できるかは別の問題もある。個人利用のコンピューターが他の職員より詳しいというスキルや経験で、業務用システムの安全管理をするのは難しい。

　400床以上の病院であれば、システム部門でSE職として雇用しているケースは多いと思うが、今後の改定で、安全管理責任者を置く対象病院の規模が下がれば、中小病院でも対応することになる。中小病院には、システム全般を計画する上流工程から、サイバー攻撃に遭った際のシステム調整などを行う川下工程までを1、2人の少数精鋭で行っている病院も少なくない。この人数ではセキュリティーへの対応は難しいだろう。

－川下工程を担う人材を、どう確保していけばいいのですか。

　病院のサイバーセキュリティーに特化した人を育成する仕組みを新たに作るというのは時間がかかり過ぎるし、既存のリソースと重複もするので、あまり現実的ではない。

　一つの選択肢として、

（残り1021字 / 全2893字）