本資料は、Henryをご利用いただく際に医療情報システム安全管理責任者の皆様に留意いただきたいリスク等について説明しているものです。Henry導入に際しまして、必ず内容をご確認ください。また厚生労働省が公開している「医療機関におけるサイバーセキュリティ対策チェックリスト」「[特集] 医療機関等におけるサイバーセキュリティ 」に加え、当社よりお渡しする以下の資料も合わせてご確認ください。
2023年の省令改正で「サイバーセキュリティの確保について必要な措置を講じること」が医療機関の管理者が遵守すべきことと定められました。令和5年度以降の立入検査をはじめとして、すでにお客様でも対応を進めていらっしゃることと思われます。
ところが近年、医療機関向け事業者が契約時に責任分界点を明確にしない・医療機関に情報を提供しないことが問題視されています。医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版においても、事業者からリスク・コミュニケーションを行うことの重要性が半田病院様の事例をひいて指摘されています。
当社ではリスク・コミュニケーションを行うことで事業者と医療機関の双方で必要な備えが明確化され、情報を守る助けになると考えております。具体的にはサービス利用規約やコミュニケーションを通じた責任分界点の明確化に取り組んでおります。
また本資料をご利用いただくことで、当社と貴院の双方において実施すべき事柄を洗い出し早期に取り組むきっかけにしたいと考えております。
医療機関におけるサイバーセキュリティ対策チェックリストでは令和5年度の達成項目として、端末PCならびにそのアカウントの管理、インシデント発生に備えた準備などを行うよう求めています。まずはこれらが達成されているかご確認ください。もし未達のものがあれば、速やかに対応されることをおすすめいたします。
なお当社からブラウザやOS、アンチウイルスソフトを更新「しない」ようお願いすることはございません。セキュリティパッチは常に最新のものを適用ください。
医療機関様にて従業員の退職・異動が発生した場合、当社が提供するシステムにおける権限の変更・剥奪が必要となることがございます。詳細はヘルプセンターをご確認ください。
医療機関におけるサイバーセキュリティ対策チェックリストでは令和7年度の達成項目として、アカウント管理の改善やサイバー攻撃を想定した事業継続計画(BCP)の策定を求めております。大規模災害を想定したBCPに加え、院内システムや院内ネットワークが侵害された場合を想定したBCPの検討を進めていただく必要があります。
なお現在Henryは診療録などをお客様の院内ネットワークにエクスポートする機能を提供しておりません。これはネットワーク切断等の発生時に診療を継続するために必要な機能であると認識しており、今後の開発を予定しております。
Henry本体はGoogle Cloudで稼働しておりますが、外部連携を実現するため、また日々の運用を実現するために以下のプログラムを院内ネットワークに導入いただくことがあります:
Henryレコーダ:問題が発生した場合の当社への情報共有を迅速に行うため
ローカルアプリ:外部連携とGoogle Cloudとの橋渡しをするため
TeamViewer:問題が発生した場合に当社がリモート保守を提供するため
Slack:当社から迅速なサポートを提供するため
上記リンク先をご確認のうえ、アカウントのアクセス制限や医療情報システム運用管理規程の策定にお役立てください。また導入時にLINE WORKS等の外部システムに当社従業員を招待いただく場合、導入終了後は当社の従業員を除名いただくようにお願いいたします。
医療機関が定めるべき規程類ないし文書体系については、経営管理編 [Governance]、企画管理編 [Management]およびシステム運用編 [Control]に記載されています。特に医療情報システム運用管理規程については具体的な要請が記載されております:
記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成し、適切な保管及び取扱いを行うよう関係者に周知徹底するとともに、教育を実施すること。
情報機器、ソフトウェアの品質管理に関する対応を運用管理規程で定めるとともに、具体的な手順の作成と実施を担当者に指示すること。
職員向け教育に流用可能な資料
医療機関向けセキュリティ教育支援ポータルサイト(厚生労働省)
病院情報システムの利用者心得(医療情報技師育成部会)
情報セキュリティ教材(情報処理推進機構)
セキュリティ対応組織の教科書 第3.2版(日本セキュリティオペレーション事業者協議会)
医療ISAC規定認証(医療ISAC)
貴院において「ガイドラインに基づく運用管理規定の整備が行われているという事実」について認証を行う