ネットワークインフラとITサービスを手掛ける「アライドテレシス」（東京都品川区）が提供する、医療現場で変革の旗手を担うキーパーソンと考える特別企画「変革する医療現場を支えるDXのチカラ～座談会シリーズ～」。vol.4は、前回に引き続き医療現場の事業継続計画（BCP）をテーマに、医療情報分野のセキュリティーやBCPに詳しい群馬大学医学部附属病院システム統合センター副センター長／准教授の鳥飼幸太氏を迎え、非常時のITシステムの運用維持に焦点を当てた「IT－BCP」について考えました。

■第一歩はバックアップ
木村氏　近年は医療機関に対してもサイバー攻撃の事例が非常に増えています。医療現場でのIT－BCPやサイバーセキュリティーについて、現在の状況をどう見られていますか。

鳥飼氏　政策では2023年に「医療情報システムの安全管理に関するガイドライン第6.0版（以下、ガイドライン6.0）」が厚生労働省から発表されました。インシデント時に医療提供の停止などがあった場合、経営責任が問われる可能性があります。

　責任が強調される一方で、24年には診療報酬の改定が行われました。診療録管理体制加算1として、充実したサイバーセキュリティー対策を行っている200床以上の病院は施設加算140点が付きます。改定前は100点で、400床以上でしたので対象数が増えたことで、被害を想定し、最小限に抑えるためのIT－BCPへの関心はより高まっています。

岡本氏　ガイドライン6.0の発表と同時に、医療機関向けチェックリストも出ています。そういったこともあってか、最近は「バックアップの構築」など当社に寄せられる相談は具体的になっています。IT－BCPが重要であるという認識は少しずつ広がっていますが、それぞれの施設に適した体制の整備には、試行錯誤している病院が多くある印象です。

中村氏　医療機関における対策はリモートメンテナンスの入口の集約などで、こういった点に着目した相談は増えています。ただ復旧など、インシデント後にすべきことを決めるのに悩まれているところが多く、ここをクリアにするための後押しが必要だと感じています。

木村氏　IT－BCPを策定する上でのポイントについて、どうお考えですか。

鳥飼氏　被害の想定や事後の復旧行動計画などの準備を行うことになりますが、最も達成すべき要件は、患者に被害が及ばないようにすることです。方法は医療機関によって全く異なります。外来しか患者がいない診療所はすぐ診療を止めることができます。有床の病院は入院患者がいるのでそうはいかない。両者ではBCPの在り方が違いますし、有床ですと特に被害の想定と事後対応の準備は大事になります。

　事業継続にはまずカルテなどの保存です。23年に医療法施行規則の改正があり、セキュリティーの適切な対策が法的に義務付けられています。ランサムウエアに感染して身代金を要求されても、自分がデータを持っていれば突っぱねて終わりです。まずバックアップを忠実にやることです。

　ネットワーク接続について医療情報部など1カ所に許可権限を持たせることも重要です。これまでの医療機関は各診療科などで独自にシステムを構築して積み上げていき、結果、ネットワーク構造や資産の把握が難しい状況となっています。防止には、どの機器を選定するか各診療科に権限を与えてもいいですが、接続権限は一元化するガバナンスです。

　CDM（Continuous Diagnostics and Mitigation、継続的な診断および緩和情報）というセキュリティー改善方法があります。5段階のフェーズで、最初が先ほど紹介したバックアップを含めたデータプロテクション、2番目がネットワークセキュリティー、3番目がアイデンティティーマネジメント（管理・認証）、4番目がアセットマネジメント（資産管理）、5番目がビジュアライゼーション（可視化）です。これに沿っておよそ考えていくと、IT－BCPは何をどの順番ですべきかが分かります。

■一元管理や自動化による早期復旧が鍵
木村氏　予防も重要ですが、準備をしていても攻撃を受ける可能性はあります。インシデント後の対応こそ問われるものが大きいですね。

鳥飼氏　速やかな復旧は意義が大きいです。近年ではランサムウエア攻撃で70日近く完全復旧にかかったケースもあります。大幅な診療制限を長期間かけるとなると、病院規模によっては数十億円の損害となる。復旧期間を短縮することは損害を抑えることにもつながります。

中村氏　「ガイドライン6.0」では、機密性、完全性、可用性のバランスを取りながら、リスクに対応するゴール像も示されています。ただ、実現のためにどんな手段を採用すればいいのか迷われている顧客が多いです。

岡本氏　いかに導入の段階で止まらないネットワークを提案するかですが、予算も限られていますので経路や電源の冗長化を必要最小限しかできないケースも非常に多くあります。

鳥飼氏　インシデントのことを考えると、冗長性は重要です。そして早期復旧への備えも忘れてはいけない。アライドテレシスは自動復旧が特徴の、独自の技術を持っていますよね。

木村氏　AMF（Autonomous Management Framework）は当社独自の技術で、一元管理や自動復旧など、より簡単で利便性の高い統合管理機能により、トラブル回避を図ります。元々はネットワークに明るくない人でも、故障時などに機器を交換するだけで復旧できるようにしたソリューションです。自然災害時など、私たちが顧客のところに行けない状況で効果を発揮しました。国内では500を超える病院で導入されています。

■経営面でのIT－BCPの重要性
鳥飼氏　事後を想定した備えによる速やかな復旧の実現というのは、経営上意義が大きい。この点は経営層に訴えたいポイントです。

木村氏　経営層にセキュリティーを重要課題として認識してもらうにはどうすればよいでしょうか。

鳥飼氏　経営にプラスになると確信が持てれば、投資は行われます。持てないということは、ベンダーなどに技術の話ばかりされて、サイバーセキュリティーが経営上、意味があるということについて、ダイレクトに伝わっていないのかもしれません。

　「ガイドライン6.0」には経営管理編が設けられていて、セキュリティーを経営視点で考えることが求められています。サイバーセキュリティーへの対応は23年の医療法施行規則の改正で「しないといけない」ものになりました。経営層の責任が明確化され、果たすために整備する必要があるのがIT－BCPということになります。

木村氏　大規模なものも含めて被害事例が見られる中、まだセキュリティーをはじめとするIT－BCPに対する投資の重要性への理解が広がってないようにも思います。

鳥飼氏　実は事故への対策は、病院の経営力を上げるところに直結しています。今は病院淘汰の時代と言っても過言ではありません。医療機関は人材確保に苦労していますが、選ばれる職場になるためにも、DXで効率的に業務ができるように労働環境を整える必要があるのです。

　ただ、一足飛びに院内システムをクラウドにつなげるとか、AIを活用するといったことは、問題があります。DXを進めるための前提条件として、安全を確保するためのIT－BCPがあるのです。セキュリティーのためにかけるコストはむだではなく、DXを推進して生産性を上げるため、人材確保のために必要な投資ということを、経営層に訴えかけていく必要があります。「安全なくしてDXなし」この意識で経営層が動くことを期待しています。

▽【4/17（木）16:00～】IT-BCPに関するオンラインセミナーを開催！
下記アライドテレシスHPよりお申込みいただけます。



▽アライドテレシスの医療機関向けソリューションについてはこちら



▽アライドテレシスのBCP対策ソリューションについてはこちら



▽【前回vol.3の記事はこちら】
変革する医療現場を支えるDXのチカラ
DXで災害にもサイバー攻撃にも対応するBCPを
https://www.cbnews.jp/news/entry/20241226154527