災害などの非常時に備えたヘルスケアITの考え方
塚田 智(亀田医療情報株式会社)
企画公演
2021-6-25
医療機関におけるヘルスケアITの現状を見ると,院内においてはRISやPACSなどの画像関連のシステムをはじめ,50種類以上のさまざまな部門システムが稼働しており,これら全体を電子カルテや医事会計システムが統合する形で病院情報システムが成り立っている。また,これらは院外のシステムやサービスとも連携しており,その種類は増え続けている。院外のシステム・サービスはインターネットに接続して運用するのが一般的であることから,高まるリスクに十分に対応しながらシステム構築を行うことが重要である。本講演では,こうした現状を踏まえ,臨床現場における災害対策およびリスク管理について述べる。
院外のシステム・サービスとの連携における現状と課題
1.セキュリティ対策の必要性
病院情報システムは基本的に,データベースサーバとアプリケーションサーバをネットワークでつなぎ,クライアントPCを用いて利用するのが一般的である。医療機関においては,従来は院内のサーバ室にすべてのサーバを設置するオンプレミスでの運用が一般的であったが,近年,管理コストなどの面からデータセンターの活用,あるいはクラウドへの移行が進んでいる。結果として,最近ではサーバを院外に構築することが増えており,これが情報セキュリティのリスク増大の要因となっている。データセンターやクラウドなど,外部のネットワークに接続するに当たっては,十分なセキュリティ対策が求められる。
2.ヘルスケアITの標準化の現状と課題
院外のシステム・サービスなどを利用するためにはデータの標準化が必要であり,医用画像においては国際規格であるDICOMによって標準化が図られている。DICOMを用いることで,システム間の連携や,システムとモダリティの接続を簡単に行うことができる。また,DICOMは現在も領域の拡大や規格の修正が活発に行われている。
一方,ヘルスケアIT全体を見渡すと,標準化が進んでいないため,情報連携は非常に困難である。医療情報交換のための標準規格としてアメリカ発のHL7があるが,医療現場への導入は十分に進んでいない。そのため,外部のシステム・サービスとの接続のたびに個別の作り込みが必要になり,多額の資金を要する。標準化が不十分であることは,今後,システム連携を進めていく際の阻害要因になると思われる。
人工知能(AI)の活用も,画像領域では先行しているが,電子カルテをはじめとするそのほかのシステムにおいては利用が進んでいない状況である。
災害や非常時に備えるリスク管理のサイクル
リスク管理においては,(1) 効果的な対策を行うためのシステムの理解,(2) 想定可能なすべてのリスクを想定,(3) 想定されるリスクに優先順位を付け対策を実施,(4) 対策できない,あるいは対策しても発生するリスクへの対応を計画(事業継続計画:BCP),(5) 対応(BCP)の実現性を確認,(6) 技術的・社会的な状況の変化に合わせた対応の見直し,という6つのサイクルがあると考える(図1)。このサイクルを回すことで,リスク管理の質を高めていく必要がある。
想定されうるリスクとその対策
1.院内サーバ停止のリスクと対策
院内サーバが停止する主な原因は,ソフトウエアの不具合と電源喪失である。ほかに,CPU,メモリ,ディスクなどサーバ本体の故障や,外部ストレージなど周辺機器の故障,空調停止による温度上昇,災害による転倒・浸水などがある。対策としては,サーバの多重化が基本であり,遠隔地での多重化も行われている。
多重化の方法は2種類ある(図2)。1つは,稼働系と待機系の2つのサーバを設置して平常時は稼働系を使用し,稼働系が停止した場合は待機系に切り替える方法である。もう1つは,複数台の稼働系のサーバを常に同時に稼働させ,1台が停止しても全体としては継続して運用可能とする方法である。これらはシステム特性によって選択され,組み合わせて構成することもある。
1)ソフトウエアの不具合への対策
ソフトウエアには,仮想化ソフトウエア,OS,データベース管理ソフトウエアなどのミドルウエア,電子カルテや仮想部門システムなどのアプリケーションという4つの階層がある。それぞれリスクは異なるが,全体を通じたリスクとしては,処理の集中あるいは特定の操作方法を原因とする不具合,バージョンアップで追加された新機能による不具合,長期間の連続稼働による不具合,マルウエア(ウイルスなどを含む妨害ソフトウエア)による妨害がある。
これらへの対策として,テスト機による十分な検証,定期的な再起動,ソフトウエアの最新化,マルウエア対策ソフトウエアの導入あるいは運用ルールの規定などが挙げられる。
2)電源喪失への対策
電源喪失のリスクとしては,停電・電圧低下,無停電電源装置(UPS)のバッテリーの劣化,電源ユニットやUPSの故障または誤作動のほか,誤って電源プラグを抜去したことによる電源喪失の例も非常に多い。
対策としては,電源の多重化,自家発電装置の設置,さらに監視・点検・定期的な部品の交換も効果的である。図3は,電源を十分に多重化した例であるが,電源ユニット,UPS,電源経路を多重化してたすき掛けで接続することで,どこか1つが障害を受けても全体としては機能する構成となっている。
2.ネットワーク停止のリスクと対策
ネットワークには外部ネットワークと施設内ネットワークがあり,さらに,サーバからクライアントまでの間には光回線終端装置(ONU)やルータ,ファイアウォール(FW),ハブなど,非常に多くの装置・部品がある。これらのうち一つでも故障や電源喪失があると,ネットワーク全体が停止するリスクがある。また,何らかの原因により大量のデータが投入され,処理能力不足が顕在化することもある。
これらへの対策としては,ネットワークの多重化が有効である。特に外部ネットワークは内部の管理から外れており,細かい対応ができないため,多重化を行う必要がある。装置・部品の監視・点検・交換や,ネットワークの機器およびソフトウエアを最新化しておくことも有効である。
3.情報セキュリティのリスクと対策
情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2021」1)によると,ランサムウエアによる被害,標的型攻撃による機密情報の窃取,テレワーク等のニューノーマルな働き方をねらった攻撃が上位に挙げられている。これらは一般企業も含めたランキングであるが,医療機関においてもほぼ同様になると思われる。
ランサムウエアとはマルウエアの一種で,PCやサーバ上のファイルを暗号化して使用できなくした上で,その復元のための身代金を要求するものである。わが国においては2019年に,電子カルテ導入直後にランサムウエアの感染が発覚し,システム全体が2日間停止した上,1000人分以上のカルテデータが一時喪失するという事例があった。本事例の原因は,接続していないはずの外部ネットワークに対して何らかの接続が行われ,それを経由して感染したものと推測されている。さらに,データバックアップを適正に取得する運営体制が確立されていなかったことが,被害拡大の要因となった。第三者の調査委員会による報告書2)では,運用規定の見直し,運用を業者任せにしないこと,利用者のITに対する資質向上,事前の技術的対策の強化,報告書の作成・公表が提言された。
セキュリティ事故の事例は海外でも多数報告されている。ランサムウエアの被害として,チェコやドイツではシステムが停止し,手術の延期や救急診療の停止に至った事例がある。マルウエアの被害では,日本の大学病院にてCT撮影中に管理端末が再起動されたため,画像が保存されず,再撮影に至った事例が報告された。ほかに,電子カルテの運用規定に違反した結果,個人情報が外部に流出したという事例もある。
4.急な運用変更に伴うリスク管理─ 新型コロナウイルス感染症に伴うシステム変更
急な運用変更においても,リスク管理を行う必要がある。実際に,新型コロナウイルス感染症(COVID-19)の発生時には,感染患者の受け入れに伴う急なシステム変更が多数要望されたが,これまで多くの医療機関で電子カルテシステムの構築を行ってきたわれわれも,このようなリスクは想定しておらず,対策も対応もできていなかった。例えば,「PCR検査の項目を今日中に登録したい」といった急な要望にも応えられるよう,事前にシステムを理解し,臨機応変な対応が可能なスキルを院内に備えておくことが,非常に重要であると痛感している。
まとめ
災害やリスク管理に十分な対策・対応を行うためには,システムを十分に理解し,その仕組みにどのように対応していくかを根本から考えることや,普段から自分たちでそのシステムを運用しておくことが非常に重要である。
●参考文献
1)情報処理推進機構:情報セキュリティ10大脅威2021.
https://www.ipa.go.jp/security/vuln/10threats2021.html
2)宇陀市立病院コンピュータウイルス感染事案に関する「報告書」. 2020.
http://www.city.uda.nara.jp/udacity-hp/oshirase/change-info/documents/houkokusyo.pdf
- 【関連コンテンツ】