【広島赤十字・原爆病院医事顧問　西田節子】

　医療機関が個人情報保護や情報セキュリティーを強化しようとしても、あまり内部監査を実施していないのはなぜか―。第1回に当院における情報セキュリティーポリシーを紹介したが、ポリシーは策定するだけでは意味がない。定期的な監査を実施し、運用が正しく行われているかどうかを評価することが大切になる。ただ、監査という言葉にはあまり良いイメージはなく、「不適合があれば、何かペナルティーがあるのではないか」と不安になる職員もいる。
　今回は、情報セキュリティーの内部監査をどのように進め、リスクの軽減を図れたのか、導入による成果を述べたい。

次回の配信は、5月27日5:00を予定しています

■院内で内部監査を進めていくためのコツは何か

　当院では2004年に電子カルテシステムを導入してから、情報セキュリティーの内部監査を年4回行ってきた。
　内部監査といっても監査基準はなく、パスワードを定期的に変更しているか、医療情報システムからどれくらいの頻度でデータ抽出を行っているのかなどを、医局長および事務部長に報告するだけの簡単な報告会であった。また、セキュリティーリスクは院内の医療情報部門が判断していたため、外部の目は入らず、結果的に自己満足としか言えない状況であった。

（残り2466字 / 全3008字）