文献情報
文献番号
202321069A
報告書区分
総括
研究課題名
安全な地域医療の継続性確保に資する医療機関における情報セキュリティ人材の育成と配置に関する研究
研究課題名(英字)
-
課題番号
23IA2007
研究年度
令和5(2023)年度
研究代表者(所属機関)
武田 理宏(大阪大学大学院医学系研究科 情報統合医学講座 医療情報学)
研究分担者(所属機関)
- 鳥飼 幸太(国立大学法人群馬大学 医学部附属病院)
- 谷川 琢海(北海道科学大学 保健医療学部)
- 川眞田 実(大阪国際がんセンター 医療技術部 放射線診断部門)
- 肥田 泰幸(東都大学 幕張ヒューマンケア学部臨床工学科)
研究区分
厚生労働科学研究費補助金 健康安全確保総合研究分野 地域医療基盤開発推進研究
研究開始年度
令和5(2023)年度
研究終了予定年度
令和6(2024)年度
研究費
5,400,000円
研究者交替、所属機関変更
-
研究報告書(概要版)
研究目的
本研究では、医療を取り巻く社会状勢や技術動向を踏まえ、安全・安心な地域医療を継続的に維持確保するために必要な保健医療福祉分野の特性を理解した情報セキュリティ人材の育成とキャリア形成、適材配置、協働体制整備に必要な教育カリキュラム、キャリアデザイン、適材配置計画、協働体制制度等の策定を目的とする。
研究方法
情報セキュリティ人材の配置状況、情報セキュリティ担当者が持つべき知識、備えるべきスキル、実行レベル等の検討、情報セキュリティに対する医療系専門職の教育状況を調査し、情報セキュリティ人材の人材育成、医療機関への適正配置について議論を行った。情報セキュリティ人材の配置状況はWebアンケートを作成し、医療機関にメールで依頼を発出した。医療系専門職は、研究計画を立てた時点の(上級)医療情報技師、診療放射線技師、臨床工学技士に加え、本研究班で議論を行った結果、診療情報管理士を調査の対象とした。
結果と考察
情報セキュリティ人材の適正状況の調査では、医療機関でのサイバーインシデントの発生や厚生労働省の施策により医療情報システム安全管理責任者の配置が進む一方、情報セキュリティに関する資格、試験の保有率は低く、情報セキュリティに関する知識の担保を如何に行うかが課題と考えられた。
情報セキュリティ担当者が持つべき知識、備えるべきスキル、実行レベル等の検討では、医療機関を3つのグループに分類し、それぞれの組織の情報セキュリティ人材が持つべき知識、備えるべきスキルを「役職間の関係」、「Cybersecurity Framework(CSF)視点」、「Continuous Diagnostics and Mitigation (CDM)視点」、「security-by-design、incident-response-recovery」、「保守業務ならびに計画」の6題に対して要求項目を整理した。6題に対して、(上級)医療情報技師や情報処理推進機構(IPA)が定める情報セキュリティに関する資格、試験の到着目標のマッピングを行った。
情報セキュリティに対する医療系専門職の教育状況の調査では、(上級)医療情報技師、診療放射線技師、臨床工学技士、診療情報管理士を調査の対象とした。診療放射線技師、臨床工学技士、診療情報管理士は教育カリキュラムに情報セキュリティに関する項目が含まれていたが、総論的な内容で、追加の教育が必要と考えられた。現時点では、上級医療情報技師、医療情報技師が、医療情報システムや情報セキュリティの教育カリキュラムが充実していた。
以上の調査結果を踏まえ、研究班で「人材」、「組織体制」、「教育体制」の観点で、情報セキュリティ人材の配置についての整理を行った。「人材」はGroup A人材として、自施設の情報セキュリティの向上や情報セキュリティ事案の対応に加え、他施設の情報セキュリティ人材の教育、指導を行える人材、Group B人材として、独立して自施設の情報セキュリティの向上や情報セキュリティ事案に対応できる人材、Group C人材として、事業者やGroup A, B人材と連携して、自施設の情報セキュリティの向上や情報セキュリティ事案に対応できる人材とした。「組織体制」は、指導的な立場の医療機関、自院の情報システムを守ることができる医療機関、他施設や事業者の助けを借りて情報システムを守る医療機関に分類した。「教育」については、OJTを含めた情報セキュリティ人材を育成できる医療機関と定義した。
情報セキュリティ人材の現状調査と合わせると、医療情報システム安全管理責任者が高い情報セキュリティに知識を保有することは現時点では困難と考えられ、医療情報システム安全管理責任者の知識に合わせ、情報セキュリティ事案担当者を置きながら、面として各医療機関の情報セキュリティを担保する体制が必要と考えられた。
情報セキュリティ担当者が持つべき知識、備えるべきスキル、実行レベル等の検討では、医療機関を3つのグループに分類し、それぞれの組織の情報セキュリティ人材が持つべき知識、備えるべきスキルを「役職間の関係」、「Cybersecurity Framework(CSF)視点」、「Continuous Diagnostics and Mitigation (CDM)視点」、「security-by-design、incident-response-recovery」、「保守業務ならびに計画」の6題に対して要求項目を整理した。6題に対して、(上級)医療情報技師や情報処理推進機構(IPA)が定める情報セキュリティに関する資格、試験の到着目標のマッピングを行った。
情報セキュリティに対する医療系専門職の教育状況の調査では、(上級)医療情報技師、診療放射線技師、臨床工学技士、診療情報管理士を調査の対象とした。診療放射線技師、臨床工学技士、診療情報管理士は教育カリキュラムに情報セキュリティに関する項目が含まれていたが、総論的な内容で、追加の教育が必要と考えられた。現時点では、上級医療情報技師、医療情報技師が、医療情報システムや情報セキュリティの教育カリキュラムが充実していた。
以上の調査結果を踏まえ、研究班で「人材」、「組織体制」、「教育体制」の観点で、情報セキュリティ人材の配置についての整理を行った。「人材」はGroup A人材として、自施設の情報セキュリティの向上や情報セキュリティ事案の対応に加え、他施設の情報セキュリティ人材の教育、指導を行える人材、Group B人材として、独立して自施設の情報セキュリティの向上や情報セキュリティ事案に対応できる人材、Group C人材として、事業者やGroup A, B人材と連携して、自施設の情報セキュリティの向上や情報セキュリティ事案に対応できる人材とした。「組織体制」は、指導的な立場の医療機関、自院の情報システムを守ることができる医療機関、他施設や事業者の助けを借りて情報システムを守る医療機関に分類した。「教育」については、OJTを含めた情報セキュリティ人材を育成できる医療機関と定義した。
情報セキュリティ人材の現状調査と合わせると、医療情報システム安全管理責任者が高い情報セキュリティに知識を保有することは現時点では困難と考えられ、医療情報システム安全管理責任者の知識に合わせ、情報セキュリティ事案担当者を置きながら、面として各医療機関の情報セキュリティを担保する体制が必要と考えられた。
結論
「人材」、「組織体制」、「教育体制」の観点から、保健医療福祉分野の特性を理解した情報セキュリティ人材の検討を実施した。実態調査情報セキュリティを担当する人材配置が進むものの、情報セキュリティに関する知識が十分でない人材が一定数いることが予想された。
情報セキュリティ人材の育成とキャリア形成、適材配置、協働体制整備に必要な教育カリキュラム、キャリアデザイン、適材配置計画、協働体制制度等に向けて、令和6年度さらに議論を深めていく。
情報セキュリティ人材の育成とキャリア形成、適材配置、協働体制整備に必要な教育カリキュラム、キャリアデザイン、適材配置計画、協働体制制度等に向けて、令和6年度さらに議論を深めていく。
公開日・更新日
公開日
2024-06-06
更新日
2024-12-12