文献情報
文献番号
202122060A
報告書区分
総括
研究課題名
医療分野の情報化の推進に伴う医療機関等におけるサイバーセキュリティ対策のあり方に関する調査研究
研究課題名(英字)
-
課題番号
21IA2013
研究年度
令和3(2021)年度
研究代表者(所属機関)
近藤 博史(国立大学法人鳥取大学 医学部附属病院)
研究分担者(所属機関)
- 長谷川 高志(特定非営利活動法人日本遠隔医療協会)
- 山本 隆一(一般財団法人医療情報システム開発センター 理事長室)
- 美代 賢吾(国立研究開発法人国立国際医療研究センター 医療情報基盤センター)
- 星本 弘之(国立研究開発法人国立国際医療研究センター 医療情報基盤センター)
研究区分
厚生労働科学研究費補助金 健康安全確保総合研究分野 地域医療基盤開発推進研究
研究開始年度
令和3(2021)年度
研究終了予定年度
令和4(2022)年度
研究費
65,293,000円
研究者交替、所属機関変更
-
研究報告書(概要版)
研究目的
本研究では国内および諸外国のEMR, EHR, PHR、m Healthおよび臨床研究ネットワークも含めた対象について調査を行い、現在および今後の状況に即した対策のあり方を教育・情報共有も含め検討する。
医療分野におけるサイパーセキュリティ対策と課題について医療機関の規模・ユースケース等毎に整理するとともに、医療機関同士が相互にサイバーセキュリティ対策に関する情報共有・相談を行う体制のあり方等を検討し、医療機関等への対策強化の普及・促進策等を検討する。さらに、諸外国の先進的な医療クラウドの事例調査と、国内における医療情報システムのクラウド化などの先例調査と現場の意向や現状調査を行い、日本のニーズから近未来化を効率的かつ迅速に進めるためのクラウド化の方向性を検討する。最後に現状の医療機関のサイパーセキュリティ対策の強化を迅速に広範囲に適合するための方策について、クラウド化を含めて提案する。
医療分野におけるサイパーセキュリティ対策と課題について医療機関の規模・ユースケース等毎に整理するとともに、医療機関同士が相互にサイバーセキュリティ対策に関する情報共有・相談を行う体制のあり方等を検討し、医療機関等への対策強化の普及・促進策等を検討する。さらに、諸外国の先進的な医療クラウドの事例調査と、国内における医療情報システムのクラウド化などの先例調査と現場の意向や現状調査を行い、日本のニーズから近未来化を効率的かつ迅速に進めるためのクラウド化の方向性を検討する。最後に現状の医療機関のサイパーセキュリティ対策の強化を迅速に広範囲に適合するための方策について、クラウド化を含めて提案する。
研究方法
(1) セキュリテイベンダー、クラウド事業者、CSIRT事業者、IPA, 医療機器工業会等に、学術集会での議論を通じて、最新の状況調査を行う。
(2)現場の状況や意向に関するアンケート調査を行う。単純かつ少ない設問数ではなく、管理状況の実態、技術知識や意向の詳細な状況が抽出できるアンケートとする。
(3) 医療情報システムの安全管理ガイドラインの今後の改定に向けた課題調査を関係者ヒャリングやアンケートにより行った。
(4) 医療機器のサイバーセキュリティに関する調査と医療機関に於ける対処技能教材の開発を行う。
(2)現場の状況や意向に関するアンケート調査を行う。単純かつ少ない設問数ではなく、管理状況の実態、技術知識や意向の詳細な状況が抽出できるアンケートとする。
(3) 医療情報システムの安全管理ガイドラインの今後の改定に向けた課題調査を関係者ヒャリングやアンケートにより行った。
(4) 医療機器のサイバーセキュリティに関する調査と医療機関に於ける対処技能教材の開発を行う。
結果と考察
医療のクラウド利用への変化は診療所用クラウド型電子カルテと、計測モバイルヘルス系のクラウド利用が進んでいる。大規模病院のクラウド移行については烏取大学が技術的可能性を明確にした。クラウドサービスにおけるセキュリティの責任分界点と利用者の設定ミス時の利用者責任部分の課願が明確になり、その対策として十分な説明資料のサービスの充実が図られていた。医療情報システムの安全管理ガイドラインに掲載されたCSIRT組織化については、医療機関からの困難な状況の指摘があり、具体的要件情報の収集のため、攻撃前の調査の重要性が明確となった。アンケート調査では既存技術でセキュリティレベルを上げる仕組みの理解度を聞くことにした。
病院のサイパーセキュリティ実態調査を11施設で実施した。接続のFW, VPNルータの機種、ソフトウェアのバージョン、設定内容、保守体制を含む。また、外部接続と内部ネットワーク全体図、そこにおけるサーバとクライアント端末の関係も資料作成が必須であった。統合管理部署がないことも明確になった。例えば、情報システムと検査機器とそのオンライン保守回線があげられる。現地保守契約でいつの間にかオンライン保守化した事例もあった。ペンダーが情報を公開し医療機関と共にリスク分析をして対応する新たな手法は始まったばかりで、理解されていない状況がわかり、具体的な病院管理者の対応の指導が必要であった。
病院のサイパーセキュリティ実態調査を11施設で実施した。接続のFW, VPNルータの機種、ソフトウェアのバージョン、設定内容、保守体制を含む。また、外部接続と内部ネットワーク全体図、そこにおけるサーバとクライアント端末の関係も資料作成が必須であった。統合管理部署がないことも明確になった。例えば、情報システムと検査機器とそのオンライン保守回線があげられる。現地保守契約でいつの間にかオンライン保守化した事例もあった。ペンダーが情報を公開し医療機関と共にリスク分析をして対応する新たな手法は始まったばかりで、理解されていない状況がわかり、具体的な病院管理者の対応の指導が必要であった。
結論
医療のクラウド化の方向性や価値が明確になり、セキュリティの要件や技術についてクラウド事業者が有することがわかった。各施設としては、攻撃前の調査が重要であり、外部接続や内部ネットワーク図など、重要な調査対象も明確になった。また管理が届かない外部接続の発生などの状況もわかってきた。様々なサイバーセキュリティ上の課題を明らかにした。
公開日・更新日
公開日
2025-05-27
更新日
-