はじめに
先日の2月2日は「情報セキュリティの日」💻
ということで、本日は情報セキュリティに関するコラムをご提供します。
クリニックには、医療従事者や患者さんの個人情報が存在しており、その情報を保護することは必要不可欠です。これは全ての組織において共通することですが、その情報が外に出てしまっては大変なことになります。
情報が悪用される危険性はもちろん、そのクリニックは社会的な信頼を失い事業を継続できなくなる可能性が生まれてしまいます。
最近ではパソコンで情報を管理しているケースが極めて多くなっていますが、小さなクリニックでは情報分野に強い人材を確保できていないことが多く、他の会社に運用管理を全て委託していることが多いのではないでしょうか。
もちろん、全て委託することでクリニックは本業に力を注ぐことができるのですが、「任せておけば情報のセキュリティについても安心だ!」などと気を緩めていると気づかぬうちに情報漏洩が起こっている可能性があります。
情報セキュリティについてはクリニックの資金管理等と同等に重要視するべき項目となるため、クリニックを開業する前であっても後であっても常に意識する必要があります。
今回はこの情報セキュリティについて考えていきたいと思います。
情報セキュリティの重要性について
情報セキュリティについては、IPA(情報処理推進機構)が力を入れている内容であり、そのIPAが実施している国家試験である情報処理技術者試験においても必須の論点となっています。それもそのはず、今やほとんどの機器がネットとつながる時代となっており、情報はネット上に溢れかえっています。ネットを利用する数が増えれば増えるほどその弱点は増えていき、情報を狙う者はその脆弱性(以下「セキュリティホール」という。)を突いてきます。実際、完璧なプログラム(100%欠点がないもの)が作り出される可能性は少なく、せいぜい99.999…%止まりになっていると思われます。そしてそのわずかな点を攻撃された場合、あっという間に情報が流出してしまいます。
欠点を克服すればまた新たな欠点を探され突かれそれを克服して…の繰り返しであり、最近のもので例えると、新型コロナウイルスがたびたび形を変えて人の免疫を乗り越えてくることと似ていますね。
上記のようなネット上の攻撃だけでも恐ろしいのですが、その他に物理的な脅威により情報が流出する可能性もあり、これに関してはクリニック側も注意しておかなければなりません。
「物理的」とは、言葉の通り物理的に情報が流出することを表します。例えば、パソコンが何者かによって院外へ持ち出された場合、そのパソコンの中に入っている情報が流出する危険性が高まります。また、院内の空調設備の点検等の理由により入ってきた外部の人がパソコンの前を通る際に画面を確認することで、その画面に表示されていた情報が盗まれる可能性もあります。このような物理的な脅威についてはクリニック側が対策を講じる必要があり、どれだけネット上のセキュリティを強化しても防ぐことは不可能です。
以上、大きく分けて2つの脅威がありますが、どれも意識しないと対策できないものが多く、その重要性は近年特に高まっています。
情報漏洩の対策について
それでは、情報漏洩の対策について検討していこうと思います。
まずはプログラム上のセキュリティホールをなくしていくことが大切になりますが、プログラムは非常に複雑であるためクリニック側での対策はかなり難しいと思われます。
このため、ここでは「委託先の選定を慎重に行う」ことが重要となりますが、その他にも「怪しいURLを開かない」等といった外部からの侵入口をなるべく少なくする努力は必要です。
しかしどちらかといえば、クリニックが力を入れるべきことは物理的な脅威の対策をすることです。
これに関してはむしろクリニック側でしか対策できない点であるため、より意識していく必要があります。
まず1つ目として院外への情報の持ち出しへの対策を考えます。
これはパソコンを院外へ持ち出して仕事をすることやUSBに情報を保存してそれを院外へ持ち出すこと等を指します。
USBについてはそのリスクを考慮して「使用禁止にする」ことで対策可能ですが、パソコンは院外へ持ち出さないと仕事が成り立たないケースもあります。
このため対策を講じなければいけませんが、例えば、「覗き見防止フィルムを貼る」ことで背後から情報を盗まれる可能性は減少します。また、カフェ等の場でパソコンを利用する場合でお手洗い等の理由で席を離れるときには、「パソコンを開いたままにしないようにする」ことが大切になります。さらには、テレワークを採用する場合にはその「従業員への情報セキュリティに関する指導」をしたのちに開始することが望ましいでしょう。
2つ目として外部の人に画面を確認されることへの対策を考えます。
これに関しては1つ目の対策でもご紹介した通り、「覗き見防止フィルムを貼る」こと等によりリスクを軽減できますが、今回挙げるのは院内におけるケースです。
院内に入ることのできる人は限られており、滅多に情報が盗まれることはありません。しかし、可能性はゼロではなく、外部の人を中に入れる際には細心の注意を払う必要があります。対策の例としては、「外部の人が後ろを通るときに他の関係のない画面を瞬時に開けるようにあらかじめ準備しておく」ことや、「外部の人を院内に案内するときに行動範囲をあらかじめ把握又は制限しておく」ことが挙げられるのではないでしょうか。
また、クリニック特有のリスクとしては、患者さんに診療を提供している間にその患者さんに他の患者さんのカルテ等の情報を見られてしまうことが挙げられます。情報をパソコンで管理しているときはもちろん、紙で管理しているときにも情報漏洩の対策は万全にしておく必要があるでしょう。
まとめ
今回は情報セキュリティについてご紹介しました。
当コラムをご覧いただき、情報セキュリティの重要性についてご理解されましたら幸いです。