はじめに
当方は某訪問診療クリニックにいるんだが。
ウチに限らず、医療業界のセキュリティ意識の低さは顕著でありまして、多くは語れないのであるが。
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)
や保健医療福祉情報安全管理適合性評価協会 HISPROの医療情報連携において、SNSを利用する際に気を付けるべき事項
なんかを踏まえながら、特にチャットツール関連のセキュリティについて触れてみたい。
なので今日は真面目な話です。
医療機関におけるサイバーセキュリティ対策チェックリスト
上のガイドラインの中にある
「医療機関におけるサイバーセキュリティ対策チェックリスト
を見てみよう。
理想論ではなくて、個人情報を扱う医療機関としてはこれくらいしておかないといけないのですが、
- 責任者いない & 事務なんかが兼務
- ログなんか取ってない
- 野良WiFiからもアクセスしてる
- インシデントなんか起きてもしらない
っていうクリニックが相当数あると思われます。ただ中小零細クリニックなんかでは予算的に技術的に厳しいのが実用ではありますが。
医療情報システムの安全管理に関するガイドライン 第6.0版
このガイドラインは長文でして、相変わらず厚労省はわかりやすいサイトを作るのが下手だな思うんですが、
とりあえずこのガイドラインにおけるSNSについての注意事項をみてみると、
ということで、HISPROの方を見てみましょう。
HISPROを見てみよう
HISPROの原文は医療情報連携において、SNSを利用する際に気を付けるべき事項なんですが。
まとめると、
- LINEはパブリックSNS(公開型)
- 患者や家族から同意を取るように
- プライベートSNSを使いように
- 端末の管理や安全性の確保をするように
要するにLINEなんか使うなって明確に記載されています。
厚労省によると
おおっぴらには書きにくいんですが、TELで医政局特定医薬品開発支援・医療情報担当参事官室に問い合わせました(番号は出しません)。
結論からいうと、無料LINEについては苦言を呈しておりました。
多くは語れません。気になるなら自分でTELされてください。
何を使ったらいいの?
-
MCS
MCSは上記ガイドラインに準拠した招待制のチャットツールです。ですが、正直いうて使いにくいです。あとデスクトップアプリがないのも不便です。でもセキュアです。 -
LINE WORKS
LINE WORKSは医療特化でないものの、ISO27001などの国際認証取得のチャットツールです。LINEとも似ているのでスタッフの抵抗感は少ないですが、LINEと混在が可能という最大級のデメリットとリスクがあります。LINE WORKSって野良LINEを排除したらいいと思うんです。 -
電話とメール
いっそLINEとか使うならこちらの方がまだマシと思います。完全な私見です。原始的ですが漏洩の可能性が低い。メールも会社ドメインにしたらGmailよりマシでしょう。
まとめと私見
- 医療業界のチャットツールについてまとめた
- 業界の常識が一般事業体と比較して非常識となっている
- LINEは使ったらいけない
- 今後の啓蒙などが必要
です。
いずれにせよ、
御上が鉄槌を下す前になんとかしないといけないのです。厚労省もこの辺の事情は把握しているようです。
訪問診療だと電子カルテがクラウド型なので管理がゆるくなりがちです。この点ではオンプレのクリニックのほうがマシかもですが。
といったところです。
また今度はクラウド型電カルの問題点とかも記事にしたいです。