厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第5回:リスクに基づくIT統制要件への対応

2017-08-28

厚生労働省「医療情報システムの安全管理に関するガイドライン」の最新版(第5版)が2017年5月に公表されました。本コラムではガイドラインを読み解くためのポイントを解説し、ガイドラインが求める管理要件に実効的に対応するためのヒントをご紹介します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。

想定されるリスク/IT統制要件の一例

第4回で整理したとおり、第6章が定める安全管理要件は、財務報告の信頼性に係る医療情報システムを会計監査人が検証する際に重点的に検証するIT統制要件の多くと重なります。

例えば、「アカウント/権限管理」、「パスワード管理」という関連度の高いIT統制要件を例に取り、想定されるリスクを整理してみましょう。

【図表1】

【図表1】

図表1では、アカウント/権限の登録状況が十分に管理されないこと、あるいはパスワードの機密性が担保されないことにより、業務端末OS/医療情報システムのサーバOS/医療アプリケーションにどのようなリスクが想定されるかを整理しています。これらを踏まえた場合、想定されるリスクに対して検討すべきIT統制の一例としては以下のリスト図表2に記載している内容が考えられます。

【図表2】

【図表2】

上記のIT統制により想定される各リスクは一定程度に低減することが可能となります。しかし、「アカウント/権限管理」、「パスワード管理」に係るIT統制が整備されたとしても、これらが十分に運用されないリスクは残ります。

IT統制要件の性質

「アカウント/権限管理」、「パスワード管理」に係るIT統制が十分に運用されない場合のリスクをどのように考えるべきでしょうか。これらの統制は、IT統制を検証する上では、不正なシステムにアクセスが発生するリスクを防止するための予防的なIT統制という性質を有しています。よって、仮に予防的なIT統制が機能せず、不正なシステムアクセスが発生した場合を想定し、インシデントとして検知するための発見的なIT統制とセットで検討する必要があります。

当該リスクに対する発見的なIT統制とは、端末、アプリケーション、サーバなど、医療情報システムを構成する諸機器の操作ログを定期的に検証し、想定外のデータ入力・更新が行われていないこと(またはそのリスクの予兆がないこと)を点検する「ログ点検管理」という取り組みが代表的です。この取り組みの中で、仮に問題(想定外の入力・更新実績またはそのリスク)が検出された場合は、適時にデータの修正、あるいは原因調査(=是正的な対応)を行うことが必要となります。

図表3のように、想定されるリスクに対して、予防的/発見的なIT統制というIT統制の性質を考慮した上で、複合的にIT統制を組み合わせることで、初めてデータの信頼性が効果的に担保されることになります。

【図表3】

【図表3】

この発見的なIT統制は、予防的なIT統制が十分でなかった場合、それを適時に検知し、対応を行うためにセットされるものであるため、図4のとおり、仮に予防的なIT統制の水準が極めて高ければ、相対的に対応水準を低めに設定することも可能です。あるいは、発見的なIT統制の水準を高めに設定することで、「アカウント/権限管理」、「パスワード管理」といった予防的なIT統制の水準を低めに設定することも可能です。

【図表4】

【図表4】

このようにIT統制とは、予防的な統制、あるいは発見的な統制という性質を有しているため、これらの性質を踏まえ、限られた組織の管理資源(リソース)を考慮しつつ、想定されるリスクを効率的に低減するための統制を講じることが重要です。

リスクベースなIT統制の検討

以上は、「アカウント/権限管理」、「パスワード管理」に係る想定リスクを例に取った一例となります。

実際的には、例えば「アカウント/権限管理」には、アカウント/権限の棚卸し(アカウント/権限の登録状況の妥当性を定期的に検証するとともに、不適切なアカウント/権限を削除する取り組み)という、発見的なIT統制も含まれており、上記ほどIT統制要件も単純ではありませんが、本コラムでは分かりやすさ/イメージの掴みやすさを意識して、ある程度、内容を単純化はしています。

ただ、IT統制要件の多くは、想定リスクを予防的あるいは発見的に低減するという共通の目的のもとに、複合的にその水準を検討すべきであり、これにより効果的な対策の展開が可能になるという点に変わりはありません。

厚労省安全管理GL第6章が定める管理要件、つまり、会計監査上のIT統制要件の全てを等しく同水準で実施することは、管理資源の枯渇をまねき、継続的な対策の運用を困難とするリスクがあります。

このようなリスクも考慮した上で、組織における医療情報システムを取り巻く想定リスクに対して合理的な管理対策をリスクの程度に基づく観点(=リスクベースな観点)より検討し、展開することが必要になります。

執筆者

江原 悠介

ディレクター, PwC Japan有限責任監査法人

Email

厚生労働省「医療情報システムの安全管理に関するガイドライン」リスクベース対応に向けたポイント

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}