{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
昨今医療機関へのサイバー攻撃が急増する中、三井記念病院はIT-BCP(医療情報システムに関する事業継続計画)の策定に取り組みました。電子カルテシステムをはじめとする医療情報システムが攻撃を受けた際、病院はいかに診療機能を維持し、患者さんの治療を継続させるのか。PwCコンサルティングの支援のもと、約3カ月にわたる策定プロジェクトで浮き彫りになった課題とその解決への道筋、今後の展望についてお話を伺いました。
登壇者
三瀬 直文氏
三井記念病院 副院長、腎臓内科部長
棚倉 健太氏
三井記念病院 形成外科部長 システム委員会委員長
榎木 久芳氏
三井記念病院 事務部医療情報 システム課 チーフ
朝原 章登氏
三井記念病院 事務部医療情報 システム課 システム技術担当
平川 伸之
PwCコンサルティング合同会社 シニアマネージャー
碓井 麻理子
PwCコンサルティング合同会社 アソシエイト
※所属法人名や肩書き、各自の在籍状況については掲載当時の情報です。
(左から)平川、朝原氏、棚倉氏、三瀬氏、榎木氏、碓井
病院全体で危機感を共有、「鉄は熱いうちに打て」で意識を高める
平川:
最初に皆さんのご所属と役職、そして今回のプロジェクトにおける役割を教えてください。
三瀬:
三井記念病院 副院長、腎臓内科部長の三瀬直文です。プロジェクトでは病院の責任者の立場から全体を見守り、また、病院全体としての情報セキュリティ対策の取り組みを推進する役割を担っています。
棚倉:
形成外科部長の棚倉健太です。プロジェクトにはシステム委員会委員長の立場で関わりました。
榎木:
医療情報システム課の榎木久芳と申します。私は医療情報システム部門の現場責任者として、プロジェクトの全体管理を担当しております。病院のITインフラと業務プロセスを知る立場から、現実的かつ効果的なIT-BCP策定に向けて、各部門との調整や技術面の実務を担当しました。
朝原:
医療情報システム課でシステム技術を担当している朝原章登です。私の役割は主に各部署間の調整役として、円滑なプロジェクト進行をサポートすることです。これまでIT-BCP対策の経験がなかったため、今回のプロジェクトを自身の学びの機会としても捉え、積極的に参加しました。
平川:
ありがとうございます。まず、私から今回のIT-BCP策定プロジェクトについて説明させてください。PwCコンサルティングでは2024年5月から約3カ月間にわたり、三井記念病院のサイバー攻撃を想定したIT-BCPの策定をご支援しました。主な内容はIT-BCP適用範囲の明確化と、サイバー攻撃発生時のCSIRT(Computer Security Incident Response Team)体制構築や既存運用管理体制の整備です。
今回のプロジェクトを振り返るにあたり、なぜIT-BCPの策定が必要だったか、背景を教えてください。
榎木:
近年、医療機関へのサイバー攻撃は急増しています。国内でも実際に医療機関がランサムウェア攻撃の標的となり、電子カルテシステムを含む医療情報システムが広範囲に停止して診療活動に深刻な制限が生じる事態が起きています。
こうした事態に、私たちは深刻な危機感を抱いています。当院でも同様の事態が発生した場合を想定し、早急な対策が必要であると考えました。また、令和6年度診療報酬改定でサイバーセキュリティ対策が診療録管理体制加算の要件に追加されることが決定し、医療機関全体での対策の重要性が示されました。
これらを踏まえ、当院では患者安全と医療サービスの継続性確保、および診療報酬改定への対応を目的に、サイバーセキュリティ対策の一環としてIT-BCPを策定することとなりました。
平川:
診療報酬改定もIT-BCP策定の重要な要因だったのですね。病院経営層という立場からは、医療情報システムと情報セキュリティの重要性をどのようにお考えでしょうか。
三瀬:
現在、多くの情報が電子化されており、情報システムは診療に不可欠です。病院経営に携わる者としても、近年のサイバー攻撃事例からその重要性を強く認識しています。医療情報システムは日々の病院運営を支える要であり、サイバー攻撃によるシステム停止は医療安全に対する深刻な脅威です。
一番よいのは攻撃をされないように予防することですが、万が一を想定し、インシデントが発生した場合にも被害を最小限に食い止め、診療機能を停止させないようにしなければなりません。どのような状況下でも安全な医療を提供するという社会的責任を果たすため、サイバー攻撃への迅速な対応が非常に重要だと考えています。
碓井:
本プロジェクトでは、院内でもさまざまな部門を含めたヒアリングや現状確認、各種調整を行いながらIT-BCPの策定を進めてきました。システム委員会委員長として、棚倉先生が特に意識されていたことは何でしょうか。
棚倉:
各部門のシステム委員会メンバーも近年の医療機関に対するサイバー攻撃事例は認識していました。実際、当院でも2024年2月にシステムトラブルを経験し、医療情報システムの停止に備えた対策への意識が高まっていました。「鉄は熱いうちに打て」と言うように、病院全体が危機感を共有している中で、具体的に形のあるIT-BCPを策定できたことは、非常に意義深く、また時宜を得た取り組みだったと感じています。
三井記念病院 副院長、腎臓内科部長 三瀬 直文氏
三井記念病院 形成外科部長 システム委員会委員長 棚倉 健太氏
三井記念病院 事務部医療情報システム課 チーフ 榎木 久芳氏
教訓を糧に――緊急時対応の課題と改善への道筋
碓井:
次にプロジェクトの具体的なアプローチについてお伺いします。IT-BCP策定のプロセスで特に意識したことや、プロジェクト推進で重視した点を教えていただけますか。
榎木:
システム部門だけでプロジェクトを進めても、実効性のない形式的なIT-BCPになる懸念がありました。私たちは経営層が積極的に関わることが重要だと考え、PwCコンサルティングとともに院長、副院長、事務長とのヒアリングを実施しました。経営層へのヒアリングや対話を重ねたことで、サイバーセキュリティとIT-BCPの重要性への理解が院内全体に浸透し、経営層のイニシアチブのもとで各部門の協力が得やすくなりました。結果として、実務と経営の両視点を取り入れた実効性の高いIT-BCPが策定できたと考えます。
朝原:
プロジェクトを進める上で最も苦労した点は、他院のケーススタディを自院の特性に合わせて適用することでした。PwCコンサルティングから他院事例も参考情報として紹介していただきましたが、各病院で運用が異なるため、それを当院の実情に合わせて落とし込む作業に苦心しました。
また、部署によって考え方や優先順位が異なることも明らかになりました。策定に関わる職員も医療情報システム課だけでなく、医師・看護師、経営企画部などさまざまな部署の協力を得たことで、実効性のあるIT-BCP策定が進んだと思います。この経験から、病院でのプロジェクトの成功には、まず病院全体で意識の統一を図り、部門横断的に取り組める体制を構築することが極めて重要だと実感しました。
碓井:
棚倉先生は医師として議論に参加される中で、意識されていたことはありますか。
棚倉:
2月に教訓となる出来事(システムトラブル)で混乱を直接経験し、その原因分析を進める中で重要な課題が明らかになりました。当院には既に緊急時対応のマニュアルが存在していましたが、実際の緊急時にはそれが適切に機能しなかったのです。分析の結果、そのマニュアルの最大の問題点は「主語が明確でなかった」ことだと分かりました。つまり、「誰が」「何をすべきか」が明確に示されていなかったため、緊急時に適切な人員が適切な行動を取れなかったのです。
この反省を踏まえ、今回のIT-BCP策定では「主語の明確化」にこだわりました。緊急時の対応では属人性を排除し、各プロセスや対応において「誰が」「何をすべきか」を明確に示すことに注力しました。これにより、緊急時でも混乱を最小限に抑え、効率的に対応できると考えています。
院内普及を徹底し、全員参加でセキュリティ強化
平川:
次にPwCコンサルティングのご支援に対するご意見を聞かせてください。現在、サイバーセキュリティ対策を支援するコンサルティング会社は数多くありますが、なぜPwCをパートナーに選んでくださったのでしょうか。
榎木:
一番の要因は、過去の事例や経験の豊富さです。プロジェクト開始前に他のコンサルティング会社とも比較検討を行いましたが、最終的には情報セキュリティと医療情報システムに関するPwCコンサルティングの豊富な知見が決め手となりました。経験に裏打ちされた助言や他院の事例紹介は、私たちが陥りがちな「病院特有の考え方」から脱却し、より広い視点でIT-BCPを策定する上で有益でしたね。
また、コンサルティングの範囲が明確に定められていたことも評価ポイントでした。具体的には、IT-BCP策定の基本的な枠組みや重要な要素についてはPwCコンサルティングに作成いただき、その先の病院固有の詳細や運用面については病院側が主導で検討するという役割分担が明確でした。この明確な線引きにより、効率的にプロジェクトを進めることができ、同時に病院側の主体性も維持できたと感じています。
平川:
ありがとうございます。今後のIT-BCP運用に向けた課題や改善点についても教えてください。
三瀬:
IT-BCPは各部署の意見を反映して作成しましたが、いわば骨格に過ぎません。実際に運用してみないと見えてこない課題があると認識しています。そのため、定期的な訓練の実施や職員への周知活動を含め、細部にわたる見直しと継続的な改善が必要不可欠だと考えています。
平川:
まさにその通りで、非常時に迅速な初動対応が取れるための対策ができているかが非常に重要なポイントです。医療情報システム課にて、IT-BCPの院内普及や啓発活動で注力した点をお聞かせください。
PwCコンサルティング合同会社 シニアマネージャー 平川 伸之
三井記念病院 事務部医療情報システム課システム技術担当 朝原 章登氏
朝原:
サイバーセキュリティ対策と事業継続は病院全体で取り組むべき課題であり、全ての部署、全ての職員が関わる必要があります。「IT-BCPだから自分の部署には関係ない」という考え方は避けなければなりません。
普及活動についてはまだ準備段階ですが、実際に運用を始めれば、さまざまな課題が出てくることが予想されます。例えば、職員の理解度の差や部署ごとの優先順位の違い、日常業務との兼ね合いなどが挙げられるでしょう。これらの課題に対しては、一つ一つ丁寧に対応し、解決していく必要があります。
碓井:
院内で発生したインシデントを受けて、IT-BCPとは別に院内でインシデント対応マニュアルを作成されたと伺っています。今回のIT-BCP策定にあたり、そのマニュアルとの整合性をどのように図っていかれたのでしょうか。
棚倉:
当院の組織構造はやや特殊で、中央管理部門(ヘッドクォーター)が比較的小規模です。そのため、これまではこの特殊な組織構造に最適化したシステム障害全般に対応するマニュアルを独自に作成し、運用してきました。
しかし、サイバー攻撃のような深刻かつ長期的な対応が必要となる事態に対しては、より包括的なアプローチが必要だと認識しました。そこで今回のプロジェクトでは、常設のCSIRT設立を検討しました。このプロセスで特に重要だったのは、CSIRTをどのように常設化し、トップ直属ではない一段階下の組織として、長期的に機能する体制を構築することでした。この概念について、PwCコンサルティングからは多くの支援を受けました。
組織体制を構築する上で最も重要だったのは、全員が納得できるリーダーシップの確立と役職の明確化です。これまでは、この点が曖昧になっていた面がありました。そこで、副院長である三瀬先生に指揮を執っていただくことで、病院全体が一丸となって取り組み、かつ全員が納得できる組織体制を構築できたと考えています。
既存のマニュアルとの整合性については、IT-BCPを上位概念として位置づけ、既存のマニュアルを補完・拡張する形で統合しました。これにより、日常的なシステム障害対応と重大なサイバーインシデント対応の両方をカバーする包括的な体制が整いました。
碓井:
ガバナンスの面では、既存の組織体とCSIRTの役割分担を明確にするため比較表を作成し、「どのような状況で」「誰が何をするか」を詳細に定義しましたね。
榎木:
はい、各組織メンバーの役割分担の明確化だけでなく、各システムの管轄についても医療情報システム課の担当者が機器やシステムのリストを作成して調整を行いました。
碓井:
プロジェクトでは、約80種類ある院内システムの中から、復旧優先度を細かく検討しました。システムの優先順位付けや復旧タイミングの決定は難しい作業であったと拝察します。そこで明らかになった課題とそれをどのように解決されたかを教えていただけますか。
榎木:
システムの優先順位付けは、病院の基本方針に基づいて進めました。まず最優先としたのは、患者さんの命に直結する重要な診療科に直接関わるシステムです。集中治療部門で使用するシステムや、画像検査などの診断・治療に不可欠なシステムを最重要と位置付けました。
一方で緊急性の低いシステムもあり、これらは相対的に優先順位を下げて考えました。しかし、委員会での議論では直接診療には関わらないものの重要なシステムの存在が指摘されました。例えば、入院患者さまに食事を提供するためのシステムなどがこれに該当します。このような意見を受け、当初の私の視点と現場の視点の違いが明らかになりました。
部署ごとに考え方や優先順位の捉え方には違いがあり、これらを調整するのに苦労しました。これを解決するため、各部署の意見を丁寧に聞き、議論を重ねました。そして最終的には合意形成に至り優先順位リストが完成しました。
今振り返ると、この過程で最も難しかったのは、既存の慣習や体制と新しいIT-BCPの概念を調和させることでした。例えば、従来の業務フローや部門間の連携方法と、IT-BCPが要求する新しい対応方法との間にギャップがあり、これを埋めていく作業は容易ではありませんでした。
とはいえ、このプロジェクトを通じ、本当に止められないシステムの存在を改めて認識しました。
PwCコンサルティング合同会社 アソシエイト 碓井 麻理子
病院間連携でサイバー攻撃と対峙する、セキュリティ対策の新たな展望
平川:
IT-BCP策定を終えられた今、プロジェクトでの経験をどのように活かしていかれるのでしょうか。具体的な計画や、さらなる改善点、あるいは医療業界全体に対する展望など、それぞれのお立場からお聞かせください。
朝原:
プロジェクトで策定したIT-BCPを基に、2024年下期にサイバー攻撃を想定した訓練を実施する予定です。この訓練を通じてさまざまな問題点が明らかになると予想されるので、それらの課題に基づいてIT-BCPの改善を進めていきたいと考えています。
榎木:
プロジェクトの主な焦点は運用面やガバナンスに関する基本的な内容だったと認識しています。今後の展望としては、基本的には攻撃を未然に防ぐことが最優先ですが、しっかりとした運用を継続しつつ、システム面でのサポート強化も重要だと考えています。現在、電子カルテシステムや医事会計システムのバックアップをクラウド上に格納しています。また、万が一の備えとしてサイバー保険の導入も検討中です。
現在の医療現場では、紙ベースに戻ると業務が著しく滞る状況です。特に若い医師はほとんど紙を使用していないため、システムの継続稼働が極めて重要です。そのため、サイバー攻撃を受けてシステムが乗っ取られそうになった場合でも、それを防ぐ手段や、攻撃の影響を最小限に抑えるためのさまざまなプランやサービスの導入を検討しています。
棚倉:
「備えあれば憂いなし」という言葉がありますが、病院として最低限の備えを整えることは確かに重要です。しかし、過度に不安や心配にとらわれるのも好ましくありません。
幸いなことに、2月に発生した出来事の記憶がまだ新しく、その経験から得た教訓や危機意識が院内に残っています。この状況は、IT-BCPを含めた訓練を効果的に、そして相当な規模で実施できる絶好の機会だと考えています。
重要なのは、今回策定したIT-BCPを常に「生きたドキュメント」として維持することです。基本方針は堅持しつつも、環境の変化や新たな脅威に応じて柔軟に内容を更新し、機能の最適化を継続的に行っていく必要があります。
平川:
冒頭、榎木さんからのご指摘のとおり、医療機関へのサイバー攻撃は急増しています。今、多くの医療機関はサイバーセキュリティ対策に取り組んでいますが「何から手を付けてよいかわからない」と悩んでいる病院も少なくありません。
三瀬先生、今回のプロジェクトを踏まえ、経営層のお立場から他の医療機関へのアドバイスをぜひお願いします。
三瀬:
プロジェクトでは専門的な内容は各分野のエキスパートにお任せしていましたから、アドバイスできるような立場ではありません。サイバー攻撃を実際に経験した医療機関は、非常に貴重な教訓を得られたと思います。むしろ、われわれがそういった経験から学ばせていただきたいです。
サイバーセキュリティ対策やBCPは各病院が独自に取り組んでいますが、将来的には複数の病院が連携してBCPを策定するようになればよいと考えています。理想的なのは、緊急時に他の医療機関と相互に補完し合える体制を整えることです。繰り返しになりますが、どのような状況であっても安全な医療を提供したいという思いはどこの病院でも同じです。
ただし、このような連携体制の構築は簡単ではないでしょう。法的、倫理的、技術的な課題も多いため、段階的に進めていく必要があります。まずは、近隣の医療機関との情報交換や小規模な協力体制から始め、徐々に範囲を広げていくアプローチが現実的だと考えています。
平川:
PwCとしても今後は病院同士の連携を促進・支援するような役割も担うようになれればと思います。本日は貴重なお話をありがとうございました。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
