BBSの考える 病院・医療機関の情報セキュリティ

BBSの考える
病院・医療機関の情報セキュリティ
株式会社ビジネスブレイン太田昭和
情報セキュリティ研究所
Copyright (C) 2013 Business Brain Showa・Ota Inc
目次
1. 個⼈情報の漏えい事故の実態と対応⽅法
2. 医療現場における個⼈情報保護の現状
3. 病院・医療機関における情報セキュリティのあり⽅
4. 情報セキュリティ構築の実施フェーズと対策体系
(参考)BBSが提供する情報セキュリティ支援サービス
-1-
Copyright (C) 2013 Business Brain Showa・Ota Inc
1. 個⼈情報の漏えい事故の実態と対応⽅法
■情報漏えい事故のほとんどが、個⼈情報を「預かっている」病院、学校、企業、⾃治体の
職員や社員よって発⽣しています。これに対応するには、実⾏可能なルールを策定し、情
報漏えいを起こさない保護策を講じた上で、研修等で浸透・継続することが重要です。
情報漏洩の実態
情報漏えい事故のほとんどが、個⼈情報を預かっている組織の「⼈」による、個⼈情報の「持ち出し」
「運搬」という日常業務の途中で多く発生している。
紛失
置き忘れ
誤廃棄
盗難
⾞上荒らし
誤操作
ウイルス感染
最⼤のセキュリティホールは、情報を利活⽤してる他ならぬ「⼈」である!
対応⽅法
「⼈」に対して性弱説で臨み、粘り強く「ルール」と「保護策」を研修等で浸透・継続する!
ルール
保護策
ルールは、「⼈」が⾏動を起こす前の⼿続きに重点を置き、分かり易
く、かつ実⾏可能なものを具体的に策定する。
⇒業務実態にかい離した守れないルールを策定しても意味が無い。
保護策は、「⼈」が情報漏えいや滅失を起こしても、第三者が容易
な取得や利⽤が出来ないような仕掛け・仕組みで実⾏する。
⇒情報の秘匿化を基本にした対策を講じる。
Copyright (C) 2013 Business Brain Showa・Ota Inc
2
研修
D P
C A
情報の利活⽤を前
提に、「⼈」こそが
情報の保護者であ
ることを教育する。
2. 医療現場における個⼈情報保護の現状
■医療現場における情報漏えい事故は、医療情報(患者情報)の3次利⽤で発⽣して
います。これをただ禁⽌するのでは無く、いかに安全に利⽤するかを真剣に考えない限り、
医療現場の情報漏えいは無くなりません。
情報の2.5次利⽤
地域連携による患者への診療・治療を目的とした
利⽤。及び、国・県・⼤学等の外部機関やNCDなど
の各学会への提供。
病病・病診・診診・病薬など
のネットワーク連携システム
情報の1次利⽤
院内掲⽰の共同利⽤通知
にて第⼆者間利⽤とする
情報の2次利⽤
現在、病院で発生している情報
漏えい事故の95%は医療情報
の3次利⽤の中で発生している。
情報の3次利⽤
⼊院患者や外来患者の診療・
治療を目的とした利⽤。
病院の管理・経営、⾏政的な
利⽤、医学研究や教育・研修
を目的とした利⽤。
学会への登録・発表や専門医/認定
医(看護師)など資格取得の個⼈的
な理由を目的とした、医師・職員及び
退職医師による利⽤。
電子カルテシステム、医事会計
システム等の院内システム
DWHシステム等の情報系
システム
PCやUSBメモリ、インターネット
上のパブリッククラウド利⽤等
院内掲⽰で利⽤目的明⽰
(黙⽰同意は対象外)
院内掲⽰で黙⽰同意の対象
医療情報(患者情報等)の3次利⽤無しに医療現場は成り⽴たず、医療の発展も無い。このため、利⽤を
禁⽌するのではなく、いかに使い勝⼿良く、かつ安全に情報を利活⽤する仕組みを作るかが重要となります。
そのためにはまず、患者さんの個⼈情報は「預かっている」ものだという意識を全医師・職員が持ち、安全利⽤
の対策実施に⼀致協⼒する風⼟を造ることが前提となります。
-3-
Copyright (C) 2013 Business Brain Showa・Ota Inc
3. 病院・医療機関における情報セキュリティのあり⽅
■情報セキュリティは「組織」「⼈」「システム」の協働です。情報オーナーである病院ト ップは
このことを認識して、医療情報(患者情報)の利活⽤と保護について対策を講じる必要
があります。⼀⽅、医師・職員は、⾃身が情報の保護者であること⾃覚する必要があります。
病院トップ
トップが決断し実⾏しなければ
漏えいリスクは増⼤し続ける!
医師・職員
医療情報(患者情報)の3次
利⽤に対する安全管理策が急務!
・研修による医師・職員の意識改⾰
・網羅的で実効性のあるポリシー策定
・必要な保護策(⼈的、組織的、物理
的対策、技術的対策)の段階的実施
職員を保護する⾏為が、職員が
情報を保護する⾏為を強化する!
医師・職員は、情報の保護者です!
預かった
個⼈情報
◇ 個⼈情報の適切な保護により、患者からの信⽤と信頼を確保・維持し、地域社会に対して安心と安全を提供し続ける
ことが、情報セキュリティそのものであることを、病院の経営トップ(情報のオーナー)は認識しなければなりません。
◇ ⼀⽅、医師・職員は、情報セキュリティ規程(ルール)や保護策が情報を保護すると共に、⾃分そのものも保護する策
であることを理解し、情報の保護者を⾃覚して個⼈情報を取り扱うことが⼤切です。
◇ また、これらのルールと保護策は必ず「劣化」するため、最適化の連続性が重要です。
-4-
Copyright (C) 2013 Business Brain Showa・Ota Inc
4. 情報セキュリティ構築の実施フェーズと対策体系
■以上を踏まえ、病院・医療機関における情報セキュリティ構築の進め⽅として、以下の通
り、実施フェーズを段階的に⾏うことを推奨します。
フェーズ1
情報セキュリティ意識の向上
問題点の発⾒・抽出
情報セキュリティ運⽤定着化
内部監査の実施
情報セキュリティ規程整備
保護策の段階的実施
個⼈情報の利活⽤と保護
に関する研修
研修を通して、医師・職員の患者情報
の取り扱いについての意識改⾰を促し、
今後の対策実施の協⼒を得る。
フェーズ3
フェーズ2
継続実施
医師・職員の情報セキュリティ意識レベルの維持および⼈員移動時の周知漏れ防⽌。
対策
周知
意⾒
反映
情報セキュリティ
リスクアセスメントの実施
情報セキュリティ規程の⾒直し
&個⼈情報の保護策の実施
個⼈情報の取り扱いの現状調査・分
析により、問題点を発⾒・抽出し、改
善のための⽅向性について検討を⾏う。
網羅的で実効性のある規程を策定し、段
階的に必要な安全対策(⼈的、組織的、
物理的、技術的対策)を講じる。
個⼈情報の保護策(⼈的
対策、組織的対策)の構築
個⼈情報の保護策(物理的
対策、技術的対策)の構築
-5-
Copyright (C) 2013 Business Brain Showa・Ota Inc
継続実施
必要な対策を段階的に⾒直しながら実施。
現状
把握
対策
評価
情報セキュリティ監査の実施
内部監査による個⼈情報の取り扱い
状況の把握と対策の有効性の評価。
(参考)BBSが提供する情報セキュリティ支援サービス
個⼈情報保護と
情報セキュリティ研修
情報セキュリティ
アドバイザリー
病院・医療機関における情報セキュリティ構築の実施フェーズ
フェーズ1
情報セキュリティ意識の向上
問題点の発⾒・抽出
個⼈情報の利活⽤と保護
に関する研修
研修を通して、医師・職員の患者情報
の取り扱いについての意識改⾰を促し、
今後の対策実施の協⼒を得る。
継続実施
対策
周知
意⾒
反映
情報セキュリティ規程の⾒直し
&個⼈情報の保護策の実施
個⼈情報の取り扱いの現状調査・分
析により、問題点を発⾒・抽出し、改
善のための⽅向性について検討を⾏う。
網羅的で実効性のある規程を策定し、
段階的に必要な安全対策(⼈的、組
織的、物理的、技術的対策)を講じる。
個⼈情報の保護策(⼈的
対策、組織的対策)の構築
個⼈情報の保護策(物理的
対策、技術的対策)の構築
情報セキュリティ規程
改定・⼿順書整備
Copyright (C) 2013 Business Brain Showa・Ota Inc
情報セキュリティ運⽤定着化
内部監査の実施
医師・職員の情報セキュリティ意識レベルの維持および⼈員移動時の周知漏れ防⽌。
情報セキュリティ
リスクアセスメントの実施
情報セキュリティ
リスクアセスメント調査
フェーズ3
フェーズ2
情報セキュリティ規程整備
保護策の段階的実施
継続実施
必要な対策を段階的に⾒直しながら実施。
現状
把握
情報セキュリティ監査の実施
内部監査による個⼈情報の取り扱い
状況の把握と対策の有効性の評価。
情報セキュリティ対策
ソリューション
6
対策
評価
情報セキュリティ
内部監査支援
Spirit プロフェッショナル精神、それがBBSの使命です
Stage 新たなステージを拓く、それがBBSのサービスです
Success お客様に輝いていただくこと、それがBBSの喜びです
-7-
Copyright (C) 2013 Business Brain Showa・Ota Inc