これからの病院経営を考える 【事例紹介】北杜市立甲陽病院:看護業務の見直しが生んだ職員の意識改革
山梨県北杜市の市立甲陽病院では、総看護師長のリーダーシップの下、看護業務の見直しを進めています。このプロジェクトを支援したPwCコンサルティングとともに取り組みを振り返り、現場からの声や成功の秘訣について語りました。
昨今、日本の医療機関に対してランサムウェア(身代金要求型ウイルス)等を用いたサイバー攻撃事例が連続して発生しており、院内システムの停止から長期間の診療停止に陥ったケースも後を絶ちません。それに対して厚生労働省は2023年5月に「医療情報システムの安全管理ガイドライン(以下、安全管理ガイドライン)第6.0版」を策定し、医療機関が取るべきサイバー攻撃対策を明確に打ち出しました。
今回は前編、後編の2回に分けて医療機関に求められるサイバーセキュリティ対策について考察していきます。前編である本稿は、医療機関におけるサイバーセキュリティ対策の現状に触れた上で、安全管理ガイドライン改定の要点を示します。
アジェンダ
前編
医療機関における脆弱なサイバーセキュリティ対策
国が医療機関へ求めるサイバーセキュリティ対策
安全管理ガイドライン第6.0版のポイント
医療機関がいま着手すべき対策とは
後編
サイバー攻撃向けBCP策定が求められる背景
サイバー攻撃向けBCPの策定ポイント
医療機関における脆弱なサイバーセキュリティ対策
近年、医療機関がサイバー攻撃の標的となる事案が相次いでおり、攻撃を受けた医療機関は通常診療の停止を余儀なくされ、病院の運営および経営に重大なダメージを受けています。
それにもかかわらず、多くの医療機関では本格的にサイバーセキュリティ対策に取り組めていないのが現状です。厚生労働省の調査*1によると、半数以上の医療機関で関連事業者も含めたネットワークの脆弱性対策や安全性の高いオフラインバックアップが実施できておらず、さらに7割以上の医療機関ではサイバー攻撃に関するBCP(事業継続計画)が策定されていないという結果が出ています。サイバー攻撃はどの医療機関でも起こりうる事象であり、各医療機関で対策を進めることが急務です。
国が医療機関へ求めるサイバーセキュリティ対策
国は医療機関におけるサイバーセキュリティ対策の強化を推し進めており、2023年3月の医療法施行規則の改正により、医療機関の管理者は必要な措置を講じることが義務化されました。また、5月には安全管理ガイドラインが改定され、医療機関等に求められる安全管理措置が最新化されました。
安全管理ガイドライン第6.0版のポイント
2023年5月に改定された安全管理ガイドラインでは、これまで示されてきた医療情報システムの安全管理の実効性を高める観点から、各編の前提となる「概説編」、経営層向けの「経営管理編」、システム安全管理者向けの「企画管理編」、システム運用担当者向けの「システム運用編」に分けられました。
特に着目すべきは、経営層向けに遵守すべき事項が明記されたことです。リスク評価や統制、BCPの策定などの遵守事項に関して、システム担当者に任せるだけでなく経営層が責任を持って指示・管理することが明確化されました。
図表3:安全管理ガイドライン第6.0版「経営管理編」における遵守事項概要
| 分類 | 遵守事項(要約) |
| 安全管理に関する責任・責務 |
|
| リスク評価を踏まえた管理 |
|
| 安全管理全般(統制、設計、管理等) |
|
| 安全管理に必要な対策全般 |
|
| 医療情報システム・サービス事業者との協働 |
|
また、内容面においては、サイバー攻撃の一層の多様化・巧妙化を踏まえた改定が行われています。
医療機関が利用している外部サービスを経由してサイバー攻撃を受けることもあり、医療機関の責任において適切にリスクを管理し、対策や責任を整理しておくことが必要です。また、サイバー攻撃に加えて、大規模災害やシステム障害など、情報セキュリティに非常事態が発生した際に起こり得ることを具体的に想定し、BCPへの対応やバックアップ等の具体的な対策を場面に応じて整理しておくことが求められています。
図表4:安全管理ガイドライン第6.0版で改定されたインシデント発生に備えた主な対策
| 分類 | 対策(要約) |
| 外部サービス利用時の整理 |
外部サービス利用に関するリスク・対策・責任の整理 |
| 情報セキュリティの考え方 | ゼロトラストネットワーク型思考、災害・サイバー攻撃等非常時の対応・対策 |
| 新技術等への対応 | オンライン資格確認等への対応、新たなネットワーク技術の利用可能性、法令等の規定や技術・規格の動向 |
医療機関がいま着手すべき対策とは
安全管理ガイドラインと同時に出された「医療機関におけるサイバーセキュリティ対策チェックリスト*2(以下、チェックリスト)」では、医療機関が優先的に取り組むべき事項がまとめられました。チェックリストでは体制構築、情報システムの管理・運用、インシデント発生に備えた対策が具体的に挙げられており、実施時期も示されています。
特に着目すべきは、2024年度中にサイバー攻撃を想定したBCP策定が求められていることです。多くの医療機関において震災等の大規模災害に備えたBCPは策定されていると思われますが、サイバー攻撃に伴う長期間のシステム停止に対して災害向けBCPを適用することは難しく、多くの医療機関では新規に策定が必要となります。
図表5:医療機関におけるサイバーセキュリティ対策チェックリスト項目概要
| 実施時期 | チェックリスト項目(抜粋) |
| 2023年度中 |
|
| 2024年度中 |
|
参考資料:
*1:厚生労働省「「病院における医療情報システムのサイバーセキュリティ対策に係る調査」の結果について(病床別分析結果)(2023年5月24日)
https://www.mhlw.go.jp/content/10808000/001100095.pdf
*2:厚生労働省「医療機関におけるサイバーセキュリティ対策チェックリストと立入検査の実施について(報告)」(2023年7月7日)
https://www.mhlw.go.jp/content/12601000/001118553.pdf
これからの「病院経営」を考える
20 results
Loading...
これからの病院経営を考える 【事例紹介】新潟県:2040年に向けた医療体制の構築を目指す在宅医療基盤整備の視点から
PwCコンサルティングは、新潟県の依頼を受けて、在宅医療提供基盤強化プロジェクトを推進するために、医療機関等へのヒアリングを実施し、地域の実情に合わせた具体的な解決策を検討しました。プロジェクトの背景や今後の展望について、新潟県の担当課の方にお話を伺いました。
これからの病院経営を考える 第25回「新たな地域医療構想」を読み解く
2040年の医療提供体制を見据え、「新たな地域医療構想」の検討が進められています。病院の経営環境が厳しさを増す中、医療機関が地域ニーズに沿ってどのように役割・機能を果たしていくべきかを解説します。
これからの病院経営を考える 【事例紹介】三井記念病院:医療機関を狙った攻撃から患者さんの命とシステムを守る 三井記念病院が取り組むIT-BCPへの挑戦
三井記念病院のIT-BCP(医療情報システムに関する事業継続計画)策定の取り組みを、PwCコンサルティングが支援しました。その中で浮き彫りになった課題と解決への道筋、今後の展望についてお話を伺いました。
Loading...
インサイト/ニュース
20 results
Loading...
医彩―Leader's insight 第7回 埼玉県と語る、看護職員の就業環境改善に向けた支援のあり方
埼玉県では令和6年度より看護業務改善のためのICT導入アドバイザー派遣事業を実施しています。本事業でアドバイザーを務めたPwCコンサルティングのメンバーが、取り組みの概要とともに、埼玉県が考える看護職員の就業環境改善に向けた支援のあり方について伺います。
2020年代後半に向けて大胆な改革を Next in pharma 2025:未来を決めるのは今
製薬業界の未来を見据えた戦略的アプローチと必要な能力について論じる本稿では、2025年以降の変革的なトレンドや価値創造の方法を探り、特にAIの影響、バイオロジーの進歩、薬価引き下げの圧力、患者中心主義などに対応するための戦略を提案して います。
医彩―Leader's insight 第6回 公立病院の2人の院長が語る、山梨・北杜で「人」を診る醍醐味
PwCコンサルティングが経営強化・業務改善支援を行っている北杜市立塩川病院・院長の三枝修氏および北杜市立甲陽病院・院長の中瀬一氏に、これまでのご御経験を踏まえて地域医療の魅力を存分に語っていただきました。
医彩―PwC Healthcare Hub 第22回 Technologyがもたらす眼科診療における変革
「世界の失明を半分に減らす」という目標を掲げ、先進国から途上国まで、グローバルな視野で医療課題解決に取り組むOUI Inc.代表取締役、清水映輔氏に、情熱の源泉とテクノロジーで切り拓く眼科医療の未来像について伺いました。
Loading...
