ISMSの動向と医療分野への適用 The ISMS trends and application to

ISMSの動向と医療分野への適用
高取 敏夫*2 鈴木 淳夫*3 Gehrmann Andreas*4 安藤 裕*5 熊本 一朗*6
㈱エム・ピー・オー *2一般財団法人 日本情報経済社会推進協会
*3
千葉大学非常勤講師 *4SRMS & Associates Pte. Ltd. ISMS主任審査員
*5
(独)放射線医学総合研究所 重粒子医科学センター病院 *6鹿児島大学病院
森口 修逸
*1
*1
The ISMS trends and application to the healthcare IT field
Moriguchi Shuichi*1
Takatori Toshio*2 Suzuki Atsuo*3 Gehrmann Andreas*4
Ando Yutaka*5 Kumamoto Ichirou*6
*1
MPO.Co.,Ltd. *2JIPDEC(Foundation for Promotion of Digital Economiy and Community)
*3
Chiba University part-time lecturer *4SRMS & Associates Pte. Ltd. ISMS Lead Auditor
*5
Research Center Hospital for Charged Particle Therapy National Institute of Radiological
Sciences, Chiba, Japan
*6
Kagoshima University Medical And Dental Hospital
Information systems in advanced medical and research institutions, including the University Hospital, is a complex system
consisting of ① headquarters functions systems, including student education, etc., ② medical information system, ③
research systems, and so on.
In addition to its role as the core of the regional medical cooperation and advanced medical care and medical research in
Japan. From viewpoint of the public, that the cooperation of these systems will be covered and management in a safe and
secure state about building and operating from risk of large-scale failures and loss of confidentiality of personal health
record,.
ISMS standards (Information Security Management System: ISO / IEC27001) was revised in October last year, for the
purpose of and response to the new technology of cloud, and for management of information security from the viewpoint of
management strategic,.
We want to discuss the usefulness of the management system of the advanced medical and research institutions, and interagency cooperation through new ISMS from the voluntary activities adapted to the strategy of the individual organizations.
We hope that the management • CIO of advanced medical and research institutions, make a dent in the discussion with
experts of ISMS stood in an international point of view.
Keywords: Information Security Management System, ISMS
1. はじめに
保健医療分野におけるデジタル化の進展に伴い、
個人健康情報の戦略的な有効活用の可能性が拡大
し、情報セキュリティをマネジメントすることが極めて重
要になってきている。機関内におけるマルチベンダ環
境 のHIS/RIS/PACS連 携 に お い て と 同 様 に 、 機 関 間
における地域医療連携、職域・地域連携、医学研究
(疫学・臨床研究・ゲノム等)の保健医療情報ネット
ワーク化においても、機密性・完全性・可用性を確保し
た運用が求められる。我が国の医療機関、とりわけ、高
度医療研究機関や大学病院においては、
高度医療:医学研究と地域医療連携の中核として
の役割以外に、海外からの保健医療ツーリズムや、国
家プロジェクトに関わる、先端医療研究のための機関
をまたぐデータベース構築などが求められ、情報セキュ
リティのニーズも多様化している。
複数の大学病院・研究施設においてISMSの実践を
コンサルテーション体験を元に、高度医療・研究施設
が、高度なICTへの対応を可能にしつつ、最新の情報
セ キ ュ リ テ ィ マ ネ ジ メ ン ト シ ス テ ム ( ISMS ) : ISO/
IEC27001:2013の 活 用 に よ り 、 情 報 セ キ ュ リ テ ィ を マ
ネジメントするメリットを紹介する。
2. 方法
2.1 ISMSの概要
ISMSは情報セキュリティに関するマネジメントシス
テムの国際標準規格である。ISMSは、PDCAサイクル
により、情報セキュリティをマネジメントし、継続的に改
善するために国際的に標準化された手法で、金融・製
造・流通等を含む、全分野に適用される。
表1 ISMSのPDCAサイクル
経営者・管理者や内部監査の各担当者、及び利用
者全員への定期及び臨時の「教育」と、定期的な「監
ISMSの動向と医療分野への適用 1
査」によるマネジメントシステムの実践は、非常に重要
な活動である。特に内部監査が、機関内に情報セキュ
リティの重要性を認識させて、機関全体を継続的に改
善してゆく原動力となる。
近年、医療情報システムを機関の外部で運用する
際には、サーバセンター(又は、クラウド)側はもとより、
クライアント側の保健医療機関も「ISMSの実践」の推
奨が、厚生労働省・経済産業省及び総務省等、各省庁
のガイドラインに明記されている。 高度医療・研究施
設における全職員への情報セキュリティマネジメントに
関する教育の徹底について、職員の出入りが頻繁で、
非常勤も多種でその割合も多いため、格段の配慮を要
する。 内部監査は、①高度な専門職員が時間を割い
て(専門外の)監査の教育・訓練を受けての監査の実
施、②業務の専門性が高いため、監査の前提となる
「(利害関係がない)担当外の部門の職員による監査」
が 困 難 、 の2点 に つ い て 、 製 造 業 ・ 流 通 業 ・ 官 公 庁 等 、
他の分野の組織とは全く異なる努力が必要である。
2.2 最新ISMS(2013年版)の特長
2.3 ISMSの規格(ISO/IEC27001)は昨年
10月に2005年以来8年ぶりに改訂、これまで
に比べて、情報セキュリティマネジメントの戦略
的な活用面が強化された。主たる改訂項目を
表2に概説する。
表2 最新ISMSの特長
2.4 高度医療・研究施設におけるISMSの実
践の現状
高度医療・研究施設における情報システムは、①本
部機能情報システム、②研究情報システム、③医療情
報システム からなり、システムの管理は、①は、大学
本部もしくは研究所の本部(事務方)、②は、研究所と
しての本部(研究職)、③は病院としての管理者(医療
職)が分担されている。
一般に、高度医療・研究施設では、②研究情報シス
テム、③医療情報システム の資産管理者及び利用
者は共通の場合が多く、管理が二重化している。 医
療情報システムのネットワークに接続される全サーバ・
クライアントに関し、発注・開発・運用保守の各場面に
おいて、システム管理者(一般には、医療情報部長)に
マネジメントの一元化が不十分な場合が多くみられ
る。 さらに、③医療情報システムの中でも、基幹の電
子カルテ・オーダシステム・医療事務システム(以上、
H I S ) と 、 部 門 シ ス テ ム のRIS/PACS/ L I S ) 、 そ の
他、個別端末内に特有の業務ソフトが複数インストー
ルされるなど、システム管理者が医療情報システムの
ネットワーク上に接続される全サーバ・クライアントの
2 The ISMS trends and application to the healthcare IT field
管理掌握が困難な状況がある。 一般的に、高度医
療・研究施設において、ISMSの管理策の対応が十分
で な い 事 例 を 、 文 末 の ( 表3 高 度 医 療 ・ 研 究 施 設 に
一般的な情報セキュリティに関するマネジメントの課
題) に掲げる。
:
3. 結果
厚生労働省制定の「医療情報システムの安全管理
に関するガイドライン」(略称:安全管理ガイドライン)
では、「個人健康情報システムによるインターネット接
続」や、「個人健康情報の外部保存」「私用PC/スマホ
等の業務活 用(BYOD:Bring Your Own Device)」
などについて、厳格なルール化が要求されているが、
高度医療・研究施設においては、そのガイドラインに従
うことが困難な場合が散見される。
機関の重要な戦略を実現するためには、(機関本来
のニーズ・目的に必ずしも合致しない)画一的なガイド
ラインの規制に従うよりも、自らの組織のニーズに適合
した情報ネットワークのための、適切な「ISMSを実践」
する努力が望まれると考える。
また、資産管理者としての保健医療機関の経営層・
システム管理者・部門管理者が、情報システム・情報
ネットワークの発注・開発・運用保守の各場面におい
て、マルチベンダ環境の発注先ベンダ及び運用委託
先 を マ ネ ジ メ ン ト す る こ と が 重 要 で あ り 、 「ISMSの 実
践」が極めて有効である。
「ISMSの実践」に必要なアクションは、適切な教
育・適 切な運用(リスクマネジメント)・適切な監査、そ
して、その全体をマネジメントレビューできる有能な経
営陣である。
4. 「ISMSの実践」についての考察
4.1 教育・運用・監査 の各場面での様々な
課題
高度医療・研究施設は専門職の集団であるゆえ、IS
MSの実践から見て、教育・運用(リスクマネジメント)・
監査 の各場面での様々な課題が多い。課題への対
応策案を以下に掲げる。
(1)ISMS教育について:経営層への「ISMSの実践」
の必要性に関する教育が何よりも重要。
(2)適切な運用に関して:有効性の評価を含むリスク
マネジメントツールの提供。
(3)監査に関して:内部監査の教育・研修機会・方法、
第3者による認証審査支援も一策。
4.2 医療情報システムの運用状況と「ISMSの
実践」
現状の医療情報システムの運用状況は、医療情報
関係者の努力により、基幹システム内の情報セキュリ
ティは、良好に保たれていると言えるが、医療情報シス
テム配下の部門システム・個人向けシステム、そして、
医療情報システム外の、研究システムとの連携、さらに
は、機関間を結ぶ地域医療連携・医学研究連携は、高
度医療・研究施設の今後の発展に重要な要素である
ことは言うまでもない。 高度医療・研究施設は国際的な観点から、ISMS基
本 規 格 のISO/IEC27001 & 27002の み で な く 、 個
人 健 康 デ ー タ に 関 し て はISO27799( 注1) や 、 海 外 と
のかかわりがある場合には、ISO22857(注2)なども参
照した検討も必要である。
高度医療・研究施設が基幹の医療情報システム全
体を導入する際には、システムの導入計画時に、
PDCAの 順 に 導 入 し 、 新 シ ス テ ム 立 ち 上 げ 時 合 わ せ
て、適切な運用ルールを制定してマネジメントを行うこ
とが望まれる。 一方、当面、情報システムの更新予定
がない場合、PDCAの「C」(Check:監査)から開始し
て、自らの情報セキュリティの課題を明らかにし、次回
の医療情報システム等の更新時に、適切なセキュリ
ティポリシーにより、マネジメントシステムの構築を行う
ことが推奨される。
注1:ISO27799:2008:「ISO/IEC27002を活用した
健康管理分野の情報セキュリティマネジメント」
注2:ISO22857:2013: 「 個 人 健 康 デ ー タ の 国 境 を
超えた流れを容易にするためのデータ保護ガイドライ
ン」
5. 結論
新ISMSでは、「情報セキュリティリスク」に関して単
に従来のリスクの概念にとどまらず、「リスク及び機会」
として積極的に戦略的に取り組むことを推奨している。
その観点からは、「安全管理ガイドラインに従う」ことも
「経 営的 リ ス ク」 と と らえ 、 長期 的機 会を 得る た め の努
力が望まれる。
院内各システム間の連携には「ISMSの実践」をより
強化すべきで、さらに、クラウドベンダーなどを活用し
た 、 地域 医 療連 携・ 医学 研究 連携に 関 し て は、 中 心と
なる機関が「ISMSの実践」を第三者機関から認証を
受ける必要がある場合が想定される。
ISMSに 関 す る 保 健 医 療 連 携 分 野 で の 理 解 を 得 る
ために、拙著、医療情報セキュリティガイドライン
( ISMS ) で 、 「 第 4 章 保 健 医 療 情 報 の 高 度 利 用 と
ISMSの活用」で保健医療連携分野でのISMSの活用
可能性に言及し、今後、新ISMSの適用によるさらなる
可能性を、取りまとめた著作・教育・コンサルテーション
を検討中である。また、医療機関・ベンダが協力して、
個人健康情報を利活用するための「リスク・機会」マネ
ジメントへの努力を評価する仕組みを模索している。
参考文献
[1] 紀ノ定保臣、森口修逸、安藤裕 他. 医療情報セキュリティマ
ネジメントシステム(ISMS). http://www.jmp.co.jp/shop/
products/detail.php?product_id=621.
[2] 国際標準化機構 (ISO) と国際電気標準会議 (IEC). ISO/
IEC27001:2013 情報セキュリテイマネジンメントシステムー
要求事項. 2013.
[3] 国際標準化機構 (ISO) と国際電気標準会議 (IEC). ISO/
IEC27002:2013 情報セキュリテイ管理策の実践のための規
範. 2013.
[4] 国際標準化機構. ISO/IEC 27000:2014 情報セキュリティマネ
ジメントシステム-用語. 2014.
[5] 国際標準化機構 (ISO). ISO31000:2009 リスクマネジメント
-原則及び指針. 2009.
ISMSの動向と医療分野への適用 3
表1 高度医療・研究施設に一般的な情報セキュリテイに関するマネジメントの課題
4 The ISMS trends and application to the healthcare IT field