カルテデータを保護・活用するための「3つのセキュリティ施策」
順天堂医院におけるセキュリティの取り組みについては、「仮想デスクトップ環境の整備」「多要素認証」「電子カルテ端末からのインターネット閲覧」などが紹介された。
仮想デスクトップ(VDI)環境の整備については、2023年1月までに実施したシステム更新を機に、既にVDI環境へと移行を行っている。その背景には、従来システムにおいてベンダーの協力が得られず、セキュリティ対策ソフトを導入できなかったことがあるという。たとえば、ログイン後に離席したとき、他者がそのまま使えてしまう仕様になっていた。そこでVDI環境への移行時には、離席先の端末で業務を継続しながらも元端末が自動的にログオフされる「多重ログイン防止機能」を盛り込んだ。
そして、『医療情報システム安全管理に関するガイドライン』(厚生労働省)に則った、医療情報システムの多要素認証も取り入れている。ID・パスワードに加えて、ネームカードや顔認証などによる、2認証要素を導入した。
そして、もう1つ。業務上、メールの確認が必要な場合などに対応するため、「電子カルテ端末からのインターネット閲覧」を実現している。これは、電子カルテとインターネット用のVDIサーバーから、画像イメージのみを転送するというもの。こうすることでウイルスやマルウェアなどの影響を受けず、メールなどを確認できるセキュアな環境を実現している。
最後に、今後の順天堂のセキュリティ対策として、杉村氏は「JIN-CSIRTを情報センター本部の配下に入れ、規定の整備を行なうこと」「各キャンパス、附属病院にセキュリティ担当者を任命し、連携強化を行うこと」、そして引き続き「CISOの任命」や「権限委譲のためのルールの明文化」などを挙げて、セキュリティの強靭化に取り組んでいくと意欲をみせた。
