2025年3月24日 / 最終更新日時 : 2025年3月19日 office_y5r18d5t コラム

コラム第866号:「医療安全とサイバーセキュリティ:DX時代の新たな課題」

第866号コラム:和田 則仁 理事(神戸大学大学院 医学研究科 医療創成工学専攻)
題:「医療安全とサイバーセキュリティ:DX時代の新たな課題」

 当研究会の「ヘルスケア」分科会主査の江原悠介さんにお声がけいただき、2025年3月15日に名古屋で開催された第11回日本医療安全学会学術総会のメイン講演②「各立場で見る、医療分野を取り巻くサイバーリスクの現在、そして今後」でお話させていただく機会をいただきました。そこでの要旨をお伝えしたいと思います。
 医療安全というと、転倒防止、患者識別と確認の徹底、医薬品の安全管理(誤投与防止など)、感染対策の強化などがまず浮かびますが、サイバーリスクのマネジメントも立派な医療安全対策のひとつと捉えることができます。近年、医療機関を標的としたサイバー攻撃が増加しています。警察庁サイバー警察局「サイバー事案の被害の潜在化防止に向けた検討会報告書 2023」によれば、2021年上半期に2件だった医療福祉分野におけるランサムウェア被害件数は、下半期には5件、2022年上半期は9件、2022年下半期は11件と増加傾向にあります。2021年10月の徳島県つるぎ町立半田病院の事故は有名ですが、その後もランサムウェアによる被害が多数報告されています。一旦、医療情報システムがランサムウェアに感染すると、電子カルテシステムの停止により、診療の遅延や停止が生じ、患者情報の漏洩や医療機器の誤作動も引き起こしうるため、患者の健康被害につながりかねない事案となります。当然、医療機関への信頼低下により、経営的な被害も起こりえます。
 当然、様々なレベルでの対策が求められますが、ご存じのように、セキュリティ対策は、DX推進のような派手なメリットはないため、なかなか予算や人的リソースが割り当てられないのが現状です。そのため、十分なSEも配置されず、サイバーリスクへの対応が甘くなる要因ともなりえます。特に近年、医療機器のIoT化が進んでおり、医療システムが外部と接続するケースが増加しており、きめ細やかな対応が求められている現状もあります。
 しかしながら医療機関に固有のサイバーセキュリティ対策の課題もあります。まずは臨床現場の多忙さです。セキュリティ対策への時間的・精神的・経済的余裕がないため、ついつい対策が疎かになりがちです。また、サイバーセキュリティに対する医療従事者個人の意識の低さもあります。医療機器やシステムの複雑化や多様な部門システムによりセキュリティ対策が困難になっていることも問題の一つと言えます。IT専門家との連携不足や情報共有の遅れも課題と言えましょう。
 サイバーセキュリティ対策上の医療従事者の特殊性も念頭に置く必要があります。多忙な労働環境の中で働き方改革により業務の効率化が求められており、安全性への対応が疎かになりがちです。医師法、医療法などの法規制による固有の対応も求められます。医療現場では緊急対応が求められる場面が数多くあり、ログインした端末をそのまま退席することが多々あり、他人が成りすまして端末を操作するリスクもあります。手指衛生への配慮から指紋認証が使用しにくいという事情もあります。医療従事者は職場をローテーションすることも多く、短期間に人が入れ替わるという事情もあります。医師は短期間の間に複数の関連病院に出向したり、複数の非常勤のパート(アルバイト)を掛け持ちしたりすることもあり、個別の対応が困難なこともあります。また多くの医療機関が教育機関としての機能も兼ねており、絶えず若手への対応が求められます。実臨床の中で、臨床研究を進める必要もあり、医療情報を外部に提供しなければならないことも念頭に置かなければなりません。多様なベンダーにより医療情報システムが開発されており、それぞれに対応するのも困難といえるでしょう。また医療従事者は患者の機微な情報に対する慣れがあり、セキュリティへの認識が甘くなりがちなことも問題と言えます。
 高齢化の進展により、医療財政は危機に瀕しているといわれます。病院の経営環境も大変厳しい状況にあります。病院の管理者は、どうしても経営や効率の改善を現場に求めることが多くなりがちです。そのような環境の中で、医療安全を重視することは、患者さんを守る上で最優先にしなければならないと言えます。その上で、安全文化の醸成が求められることは言うまでもありません。私見ですが、一番重要なのは病院管理者のリーダーシップだと思います。トップが医療安全を第一に考え、サイバーリスクへの対応もベンダーに丸投げせず、予算と人を手当てすることでリスクは低減することが期待されます。もちろん継続的な教育研修も必要なことは言うまでもありません。さらにはリスクコミュニケーションにより現場での信頼関係を構築し、リスクマネジメントにより問題発生時の損失を最小化することが求められます。患者教育も重要な課題で、サイバーリスクへの対応には費用と手間が必要であり、その負担は窓口での支払いを原資とすることを理解していただき、確認作業や待ち時間の延長などにもつながることを、社会に認識していただく活動も必要だと思います。
 多少のコストを要するとしても、すべての人に安全な医療を提供することは現在の日本に必要なことだと言えましょう。

【著作権は、和田氏に属します】

カテゴリー
コラム第21期
コラム

前の記事

コラム第865号:「新しい生活様式とセキュリティ、その後」
2025年3月17日