第479号コラム:江原 悠介 理事(PwCあらた有限責任監査法人 システム・プロセス・アシュアランス部 マネージャー)
題:「医療法等の改正に伴う会計監査の義務化の流れにおける病院のセキュリティガバナンスとデジタル・フォレンジック」

本コラムは短時間での読みやすさを意識し、基本的にそれぞれ独立した断章形式でテーマ構成を行っています。全体をご通読頂ければ、「医療法等の改正に伴う会計監査の義務化の流れにおける病院のセキュリティガバナンスとデジタル・フォレンジック」という主旨に結びつくであろうかたちにしています。

なお、<B章>は最終的なまとめ部という位置付けにしているため、<A章>を全てご通読頂いたのちに、ご覧になることを推奨します。ご都合のよろしい際に、ご興味のあるテーマから適宜お読み頂ければ幸いです。

<A章>
(1)医療法改正に伴う病院経営ガバナンスへの監査
平成25年9月の第七次医療法改正に伴い、収益・負債額が一定以上の医療法人・社会医療法人等の病院は、平成27年4月2日から開始される事業年度において独立した公認会計士または監査法人による会計監査を受けることが義務化されました。これは国民負担の公的保険で成立する病院運営資金の管理スキームを透明化し、地域のQoL(生活の質)を下支えする医療福祉の財務上の信頼性を確保することを目的としています。地域における医療機能を担う組織が継続的且つ健全に運営するためのガバナンスの重要性が高まった結果と言えます。ただ、このガバナンスとは単なる財務面のみに限定されない、病院における業務・システムの内部統制をも含む幅広いものなのです。財務管理状況のみが仮に妥当であっても、それは内部統制としては十分ではない点は留意すべきでしょう。

(2)内部統制と厚生労働省安全管理GLの関係とは
内部統制とはそもそも何でしょうか。何の目的で行うのでしょうか。米国COSO(トレッドウェイ委員会組織委員会)によれば、内部統制の目的は「業務の効率性・有効性」「報告の信頼性」「コンプライアンス」の3点です(2013年のフレームワーク改訂を踏まえた整理をここでは前提にしています)。内部統制の目的の一つである「コンプライアンス」とは別の言葉で言えば「法令遵守」です。この場合の法令には、業務・システムの運営管理に際して遵守すべき関連法令・規則等が含まれます。ところで、病院業務に不可欠である医療情報システムにとって遵守すべき法令は何かと言えば、厚生労働省「医療情報システムの安全管理に関するガイドライン」(以下、厚労省安全管理GL)がまずは該当するでしょう。このGLはあくまで具体的な罰則を伴わないソフトローの位置付けでしかありません。しかしながら、病院運営のガバナンス(内部統制)を構成する重要な統制の一つなのです。

(3)会計監査の観点で見た厚生労働省安全管理GLについて
厚労省安全管理GLでは様々なIT管理要件を定めています。これらの多くは、財務諸表等上の諸データを取り扱う業務プロセスの信頼性を担保するために、IT統制として整備・運用されるべき管理要件との共通度が実は高いのです。そのため、厚労省安全管理GLを適切に遵守している病院は、会計監査の観点から見ても、相対的にも高いIT管理水準、つまりセキュリティ管理水準にあります。よって、厚労省安全管理GLとは、医療情報システム等の管理に求められるコンプライアンスを充足するための非常に有益な準拠枠であるということが出来るでしょう。

(4)病院運営上のコンプライアンスは誰のため?
コンプライアンスとは一体誰のために守らなければならないのでしょうか。補助線として、コンプライアンスを二つの責任の軸に分類してみましょう。一つは、コンプライアンスに基づき業務の管理を行うという管理責任の軸、もう一つはそうした管理状況を内外の利害関係者(ステークホルダー)へ適切に説明するという説明責任の軸です。病院にとって最も重要なステークホルダーは患者です。この場合の患者とは、直近までの<顔の見える患者>でなく、その地域において医療を必要とするであろう、将来にわたる<顔の見えない患者>も含みます。医療サービスの継続的な供給を安定的に行える環境を管理し(=管理責任)、現在、未来における地域の患者(患者候補)の求めに応じる(=説明責任)体制を維持することこそが、病院が果たすべき最重要コンプライアンスではないでしょうか。フランスの哲学者、ジャック・デリダの言を借りれば、責任(Responsibility)とはまだ見ぬ他者に向けた応答可能性(Response-ability)にこそあります。

(5)事業継続リスクとしてのサイバー攻撃について
2017年5月に世界規模で発生したサイバー攻撃により、英国国民保健サービス(NHS)の診療の継続性が著しく損なわれる事態を招いたことは記憶に新しいと思います。この事態は病院にとって単なるサイバー攻撃の一類型ではもはやありません。これが意味することは、サイバー攻撃から自院の業務を保護するセキュリティ対策とは今や単なるIT部門の技術的な話ではなく、患者という最重要ステークホルダーに影響が及び、事業目的(=患者診療)自体の有効性を危ぶませる、事業継続上のリスクになっているということです。巷間で言われる「サイバーセキュリティは経営課題」というテーゼは、既に病院経営にも及んでいるのです。

(6)サイバー攻撃を前にした安全性(Safety)/セキュリティ(Security)を考える
悪意ある外部者によるサイバー攻撃に対して、現行の情報セキュリティ対策では限界があります。何故でしょうか。例えば、情報セキュリティは、当該セキュリティを可能とする機器・製品の技術的な「安全性」(継続利用性)を前提とした上で検討されています。然るに、サイバー攻撃はこの「安全性」を含めた攻撃を行います。よって、サイバー脅威へ実効的に対応するためには、機器・製品の「安全性」も含めた観点より、情報セキュリティのフィージビリティを検討しなければなりません。今や、セキュリティとは機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の三大原則(CIA)に加え、それらの重要度評価の暗黙の前提とされる、技術面の「安全性」(Safety)を含めた観点(S-CIA)から検討しなければなりません。この観点は病院における医療機器等、外部ネットワークとの接続度の高いIoT機器において特に大きく要求されることが想定されます。厚労省安全管理GL第5版でIoT機器の継続利用性が損なわれることを想定し、利用者(患者)に向けた<リスク受容>(継続利用性が損なわれるリスクの事前承認)のプロセスが明示されていることは、これと無関係ではないでしょう。

<B章>
■今後あるべき病院のセキュリティガバナンス
病院が医療情報システム上のコンプライアンスを遵守しようとするのであれば、厚労省安全管理GLへの準拠が不可欠になります。また、この準拠は、医療法改正に伴い、外部の会計監査人による会計監査(IT統制監査)を受けている病院にとっては、IT内部統制の水準の高さを示すことにもなっています。つまり、病院にとって管理責任/説明責任の観点より有益な結果をもたらすでしょう。病院のセキュリティガバナンスはこれらにより一定程度までは高められたと言えます。しかしながら、これでサイバー攻撃による事業継続リスクは低減できたと言えるのでしょうか。何か万能なリスク低減策はないのでしょうか。

■万能薬としてのデジタル・フォレンジック!?
残念ながら(当たり前ながら?)万能薬は存在しません。現行のデジタル・フォレンジック技術でも事業継続リスクをカバーすることは不可能です。しかしながら、デジタル・フォレンジック技術はインシデント発生時における事後追跡性/証拠保全性に留まらない、ポジティブな監査(監視)技術としての可能性を秘めている点は銘記すべきでしょう。( https://digitalforensic.jp/2017/04/03/medi_wg1_guide_info/
我々が行うべきは、存在しない万能薬を夢想するのでなく、その可能性の萌芽を前に真摯な検討を行うため、有志とともにその一歩を踏み出すことではないのでしょうか。

そのような意味で、「医療」分科会は皆様のご参加をお待ちしております。

【著作権は、江原氏に属します】