情報セキュリティ対策できていますか？

長　幸美

2023.01.06 DX推進

マイナンバーカードによる「オンライン資格確認」の導入が、令和5年4月以降義務化されました。これは、医療におけるDXを推進していくことが前提にあります。
医療DXの目的は、国民が医療情報の地下るようによる恩恵を享受することを推進する観点から、初診時等における情報の取得・活用体制の充実及び情報の取得の効率化し、より質の高い医療を実施する体制を作ることにあります。

詳細は、8月17日のコラム「トピックス：オンライン資格確認導入の原則義務化！～令和5年4月～」をご参照ください。
https://www.sasakigp.co.jp/column/10018218

さて、その中で先生方が気にされていることは、「マイナンバーカードを利用することにより、個人情報を吸い取られたり、悪用されたりするもとになるのではないか」ということが多いです。そのような懸念の中で、オンライン請求にも踏み切れない医療機関（現在もCD-ROMで請求している）もあることも事実です。

そこで、弊社のICT活用推進課　綾部マネジャーにいろいろな疑問をぶつけてみました。
皆さんの疑問が少し整理できればよいなと思います。

マイナンバーカードのカードリーダーを読ませることにより、個人情報がすべて抜き取られると聞いたのですが、本当でしょうか？
→可能性があるか・無いかというと、「無い」とは言い切れないのが現状ですね。
マイナンバーカード自体が今後メジャーに使用されることを考えると、個人情報を狙う攻撃者からすると、そこを狙ってくるということもあるかもしれません。
しかし、きちんと管理・運用されていれば、防ぐことはできると思います。

マイナンバーカード自体に個人情報やお薬の情報などが書き込まれることになるのでしょうか？
→マイナンバーカードには、「チップ」といわれるものがあり、そこを読み込ませることにより連携先の情報等に接続できる仕組みです。「チップ」には、カード面に記載されている情報（氏名・住所・生年月日・性別・個人番号・本人の写真など）や公的個人認証の電子証明書などが含まれています。

なるほど、カードの表に書かれている個人情報はチップの中にも記載されているのですね。電子証明書も記載されているとしたら、私たちもなくさないように管理しないといけませんね
→マイナンバーカードの紛失等には気を付けていかなければなりませんし、取り扱いをする会社（事業所）も慎重に対応を検討する必要はあります。

そのような大事なマイナンバーカードですが、医療機関が「マイナ保険証」によるオンラインの資格確認や他の病院の個人情報の閲覧などを行うにあたって、医療機関として気を付けておかなければならないセキュリティについてはどのような対策が必要でしょうか？
→セキュリティの対策としては二つあります。
一つ目は、「ネットワークの出入り口に、しっかりとしたゲート対策ができているか？」ということです。医療機関として、外部ネットワークにつなぐ場合、何らかの機器を通して外部とつないでいくと思いますが、その入り口にセキュリティ対策をすることが重要です。顔認証式カードリーダーは院内のメイン機械を通して支払基金の機器とつなぐことになると思います。その機器からインターネットに出ていく出入口です。

なかなか見えない部分なので、よくわからないですよね。
→確かにわかりづらいですよね。ご自宅の電気や電話をイメージしてください。
電信柱から電線を家庭内に引き込み、ヒューズBoxを介してそれぞれの部屋に電気を配線していますよね。同様に、外部のインターネットの多くは電話線を通して家庭内のモデムで光電話やインターネット回線等に分けていっていると思います。
そのヒューズBoxやモデムのところにセキュリティシステムを一つ取り付けるようなイメージです。

何か専用の機械を取り付けるようなイメージでしょうか？
→そうです。UTMという機械を取り付けます。いわゆる門扉やマンションのオートロックのようなものです。
UTMとは、複数の異なるセキュリティ機能を一つのハードウェアに統合し、集中的にネットワーク管理、つまり統合脅威管理(Unified Threat Management)を行うものです。

ウイルスバスター等ではだめなのですか？
→ウイルスバスターだけでは十分だとは言えません。フィッシングやスパム、ランサムウエアなど、近年のサイバー攻撃は巧妙になってきていて、ひとつの種類だけでは防ぎきれなくなっています。また、昨年の徳島県半田病院のよう大病院だけではなく、一般の医療機関にも規模に関係なく増えてきています。対策は必要です。

なるほど、一つ目の対策、「UTM」などのゲート管理が必要ということは理解できました。二つ目の対策は何でしょうか？
→二つ目の対策は、導入した後の対策のメンテナンスです。
UTMの導入をしても、入れたからよいというわけではありません。入れた後にアップデート・バージョンアップなどをこまめに行い、常に最新の状態にしておくことが大切です。

携帯電話のアプリケーションのアップデートもしょっちゅうかかりますが、そのようなものでしょうか？
→身近な例としては、携帯電話のアプリのアップデートをイメージしてもらっても構いません。最新情報になっていないと、不具合が起きたりしますよね。セキュリティの場合はその不具合が「セキュリティの脆弱性」につながり、サイバー攻撃に対し「隙」を与えることになってしまいます。

なるほど、怖いですね？
→過去に起きたサイバー攻撃の状況を見ていても、このアップデートしていないケースが多いのです。アップデート・バージョンアップすることにより、初期化されたり、設定が変わったり等の不具合が見つかった場合などにより、面倒だからと対処していないケースも多くみられます。
担当者はこのような危険性があることを認識し、適切にアップデートしていくことが大事です。

他には何か注意事項はありませんか？
→先ほどUTMの導入の話をしましたが、これは機械を入れてライセンスを取得することになります。UTMも機械ですので、消耗していきます。４～5年に1回UTMの交換とライセンス契約を更新していく必要が出てきます。

相談する場合、どこに相談するのが良いのでしょうか？
→電子カルテシステムやレセプトコンピュータのシステムベンダに、相談されるのが良いのではないかと思います。

ありがとうございました。
皆さま、如何だったでしょうか？

私自身、これまで何となく「情報セキュリティ対策は大事」とは思っていましたが、こうしてお話を伺ってみて、対策をしていないと大変な事件に巻き込まれるなど、怖いなあと思うと同時に、しっかり水際対策をしていくことにより、より安心で安全な仕組みを活用していくことができることも分かりました。

弊社では、医療DXにも力を入れており、ロボット開発などを通して、皆様の作業効率を上げることや、負担を軽減することをご支援しています。それと同時に、このような情報セキュリティ対策のご相談もお受けすることができます。何か気になることがありましたら、ぜひご連絡ください。

ICT活用推進課　綾部一雄
医業コンサル課　長幸美（文責）