第4回 医療革新セミナー「診療を止めない! 医療機関のBCP ―自然災害,感染症,サイバー攻撃に備えるー」開催日時:2021年7月13日(火)配信
2021-8-23
インナービジョンでは2021年7月13日(火),Webセミナー「第4回 医療革新セミナー」を開催した。今回は,月刊インナービジョン2021年3月号特集 ,ITvision No.43特集 とのコラボ企画として,地震や台風・豪雨などの自然災害,新型コロナウイルス感染症(COVID-19)などの新興感染症,サイバー攻撃を想定した医療機関の事業継続計画(BCP)をテーマに,医療施設,医療情報システム,放射線診療の視点から,診療を止めないための備えや対応について講演いただいた。
講演1
建築・設備の視点から考える医療施設のBCP対策
和田浩志 先生(株式会社竹中工務店 医療福祉・教育本部)
はじめに
病院づくりのテーマとして,BCPも含めた“安全・安心な医療提供”が改めて注目されている。BCPは地震対策というイメージが強いが,事業継続を困難にする要因は感染症やサイバー攻撃も含め多様である。医療機関のBCP策定では,災害による医療提供能力の低下とその期間を極小化するだけでなく,災害により発生するプラスαの医療需要に限られたリソースで対応するという新たな課題も踏まえて検討する必要がある。
地震動への備え
建築基準法の新耐震基準は,震度6(強)〜7程度で大破・倒壊しない(人命を守る)ことを想定して設定されているが,非構造部材の被害(天井や照明器具の落下,機械設備の転倒など)が診療活動の継続を妨げる可能性がある。そのため,医療機器の転倒防止や電子カルテのサーバを守るなどの備えが必要になる。また,ライフラインの途絶なども想定すべきだろう。
耐震構造と免震構造は共に建物自体は大地震に耐えられるが,揺れ方は免震構造の方が穏やかで転倒被害が出にくい。免震構造は既存建物への導入が難しく,新築でもコストがかかるが,当社では建物の重要な部分のみを免震化するエリア免震技術を開発した。既存建物に導入可能で,コストも大幅に抑えることができる。
津波・水害への備え
津波による甚大な被害を受けた石巻市立病院は,2016年に移転新築された。1・2階の間に免震層を設けた中間階免震とし,2階以上に診療機能や機械室を設置するとともに屋上にヘリポートも設けられた。近年は1時間に80mm以上の“猛烈な雨”が増加しており,ハザードマップに記されていることは“想定の範囲内”と考えて対策する必要がある。
感染症への備え
COVID-19の感染拡大により,一時的に外来や病棟を閉鎖した病院が11〜15%あった。当社でも仮設診療棟の整備などに取り組み,ゾーン分けや気流コントロールなどの対策を実施しているが,医学的な根拠が明らかでなければ有効性を確保できない。新たな脅威に対しては,医療者と設計者・施工者が互いに知恵を出し合って検討する必要がある。
建築・設備のBCP策定
BCPの策定フローは,(1) 経営方針としての重要業務の確定,(2) 災害の想定に基づく被害の予測,(3) 予測被害下での重要業務継続の検討,(4) 業務継続のために必要な対策の実施,(5) マニュアル化と模擬訓練の実施であり,(5) の結果をフィードバックしていく。策定では,「地域での自院の役割を決める」「発災時にやらないことを決める」「常に見直しを行う」が重要と考える。
また,平時から省エネルギーで活動できるようにしておくことが停電対策につながる。BCP対策は利益を生まない投資と考えられがちだが,設備更新のタイミングなどに経営改善と併せて取り組んでいただきたい。BCP対策はすべての病院に必要であるが,1病院ですべてに対応できる必要はなく,地域での役割に応じた対策の検討が必要だろう。さらに,COVID-19のような新たな脅威に備えて,常にBCPをバージョンアップすることが大切である。
講演2
医療情報システムと新興感染症・災害・サイバー攻撃を考える
美代賢吾 先生(国立研究開発法人国立国際医療研究センター医療情報基盤センター)
新興感染症と医療情報システム
COVID-19は,1年半前は未知のウイルスであった。対抗する手段は隔離,非接触,リモートであり,陰圧個室や陰圧化・隔離したICUで対応していたが,その内部の状況は外部から把握しにくく,また,あらゆるシーンで対面が制限された。COVID-19がもたらした危機とは,コミュニケーションの分断であったと言える。当施設では,この危機をICTで乗り越えてきた。タブレットを用いた配信は,音と映像で隔離エリア内の状況を把握でき,外部からコンサルテーションできるといった利点がある。また,グループウエアにより,どこからでも院内と同様のシステム環境を構築できた。これらには,張り巡らされた無線LANが最も重要な役割を果たしている。
当施設は2015年にOffice 356を導入し,多要素認証で院外からも業務ができる環境を整えていた。COVID-19を受けてクラウド上に仮想的な職場を構築し,共有情報の集約化,オンラインストレージ,リモート会議,メール・スケジュール共有などを院外からも可能にすることで乗り切ることができ,現在は日常的に活用している。
医療情報システムの災害対策
電子カルテの災害対策というと遠隔バックアップなどを考えがちだが,津波による大規模な被害や大地震によるサーバ室の破損が生じるような場合には,そもそも診療が継続できない状況と考えられる。まず復旧すべきは人工呼吸器など生命にかかわるものであり,そのような場合に電子カルテが動いている必要は必ずしもない。建物が損壊せず診療の継続が可能な場合に,電子カルテが使用できるかが重要である。診療が継続可能な状況下で地震動だけで電子カルテが停止することはあまりなく,停電による停止,あるいは空調が自家発電につながっていないことでサーバを停止せざるを得ないというケースが多い。自家発電機との接続だけでなく,自家発電の連続稼働時間(冷却能力も考慮)を確認しておく必要がある。空調停止に備えて,大型扇風機の準備も検討するとよいだろう。
また,災害直後に自院の患者以外の住民が押し寄せてくることを想定して対応を検討する必要がある。電子カルテ以前に,医療材料や職員・外部とのコミュニケーション手段の確保が重要だ。なお,サーバ室の被災は大地震よりも豪雨や河川の氾濫による場合が多く,サーバ室が水没しないように対策を立てる必要がある。
もう一つのウイルスとの闘い
医療機関に対するサイバー攻撃は,ここ1〜2年で劇的に急増している。また,情報や金銭の詐取を目的に,ウイルス対策ソフトでは対応できない標的型攻撃やランサムウェアなどへと変化している。不審メールといっても,最近ではまったく不審点がない文面のメールにウイルスファイルが添付されるような事例も出てきている。
対策には,システム管理者が攻撃に気づく仕掛けを導入するだけでなく,事例紹介や訓練でユーザーを教育し,さらに開封・クリックしてしまった場合を想定して対策することが重要である。サイバー攻撃対策は組織への投資という視点を持ち,医療機関全体で取り組むことが求められる。
講演3
放射線診療におけるBCP
池田龍二 先生(熊本大学病院医療技術部診療放射線技術部門)
はじめに
平成28年熊本地震の発生時には,スムーズに情報収集できない状況を経験した。災害の70%は夜間休日に発生しており,放射線部門では当直スタッフが1人で対応しなければならない状況も生じうる。BCP策定においては“想定不足をいかに少なくするか”が重要である。
放射線部門におけるBCPの必要性
BCP策定は,進行型/突発型,広域災害/狭域災害に分けて検討する。また,複合災害への準備も重要だ。突発型の広域災害(地震,津波,大規模停電など)と狭域災害(火災,システム障害など)では,医療の供給能力が低下し,需要が大きくなることから,対応できるスタッフ数に応じた段階的なアクションカードを準備する。一方,進行型の広域災害(新興感染症など)と狭域災害(サイバー攻撃など)は時間に余裕があるため,ゼロアワー(主な災害の発生時点)に到達するまでのリードタイムにタイムライン(防災行動計画)を作成することが重要だ。
BCP策定では,まず非常時の優先業務(PACS,CT,X線撮影などの復旧)を洗い出し,その目標復旧時間,ボトルネックリソース,代替策を検討する。さらに重要なのがシステムを動かすための人・チームであり,そのボトルネックと代替策も検討しておく。
また,高額医療機器を有する放射線部門では,BIA(Business Impact Analysis:事業影響度分析)も重要である。BIAでは,モダリティごとに装置損傷の影響度と発生確率を整理し,共に大きいところから予防対策を行う。次いで,重要リソースとして建物,設備,テクノロジー,人的資源,外部協力者(ベンダー)の不安材料を洗い出し,対策することで回復力が向上する。情報に対しては,災害時にどこまでのバックアップを閲覧可能とするか(目標復旧時点)と,災害発生後の目標復旧時間を設定しておく。
経験から見えた課題
熊本地震の経験から見えた課題として,(1) マニュアル・連絡網のリアルタイム更新,(2) 目標復旧時間と優先度の確認,(3) アクションカードとタイムラインの準備,(4) 非常用電源とライフラインの確認,(5) 災害に強い組織,チーム力強化,(6) デジタルからアナログへの代替策,(7) 読影およびモダリティのモニタの震災対策,の7点を挙げる。また,冗長性の強化とサプライチェーンの確認も重要だ。組織作りでは,夜間休日でも対応できる準備や災害発生時の通勤経路の確認に加え,専門・独占業務をできるだけ少なくしておくことも大切である。SNSなどで能動的に安否報告できる体制の構築も必要だろう。
部門システムのウイルス感染については,マルウエアやセキュリティ対策が未実施・脆弱,レガシーOSの稼働,可搬媒体の利用,管理者・利用者の意識・モラルといった要因を認識し,まずはUSBを使用しない運用を構築することが重要である。
放射線部門のBCP策定・見直しは,アクションカードとタイムラインの作成,優先業務・ボトルネック・代替策の洗い出しがポイントとなる。そして何よりも組織力=チーム力の強化が重要だと言える。