今回は医療機関における情報セキュリティ意識(3)ということで、続編をお送りいたします。

 

　前回の続きですが、組織面・人材面・薬事法関連のお話を続きで…というところで終わっていました。これらを踏まえてお話を進めて行きます。

　(1)と(2)でも触れましたが、一連の記事を書くための元ネタでありますIPAの資料「医療機器におけるじょうほうセキュリティに関する調査」に基づいています。

　上記資料中の「医療機器セキュリティに関する課題」の中に、「薬事法では改造に当たるので、承認時の想定外だったセキュリティパッチや、OSそのもののアップデートがNG」という記述があります。百歩譲って独自OSでスタンドアロンな環境であれば、まだそれでも機能するかもしれませんが、汎用OSを使い、ネットワーク接続が当然の現在では時代に即していない法律だということになります。セキュリティより薬事法を優先せざると得ないとなると、ウイルス感染し放題・外部から攻撃され放題になっても、その状況を甘受しなくてはいけないというおかしなことになってしまいます。法律が現状に追いついていない一例でしょう。

　と書きましたが、「感染の可能性があるソフトウェアは薬事法認定外とする」とあるようですので、若干緩和されているようではあります。でも、薬事法側が現在のサイバーセキュリティ事情を汲んだ対応をされることが情報基盤屋としては望ましいなと思う次第です。

 

　他に人材面では医療機関内にITのプロが少ないという問題もあります。採用面の問題や採用後の活躍を担保出来る環境の確保等の問題もあります。医療情報学会が認定している医療情報技師という資格(正確には検定試験ですね)が存在するのですが、情報処理/医療情報システム/医学・医療の3分野全てに合格する必要があります。我々IT屋にとっては情報処理分野は朝飯前なのですが、医学・医療分野がハードルがとてつもなく高く感じられます。(特に医療機関機関や医療機器関係ベンダに勤務されていない方々にとってはさらにハードルが高く感じられるようです)

　逆に医療従事者からすると、医学・医療分野は朝飯前なのですが、情報処理分野が鬼門だと感じておられる方々が多いようです。

　さらには、院内の人材で内部養成しようにも講師となる人材が存在しないためにどうしていいか分からないという問題もあるようです。

 

　組織面ですが、医師の方々があまりに忙し過ぎて情報セキュリティにまで意識が及ばないということもあるようです。他にもいろいろありますが、また別の機会に改めてゆっくりと。(^^;;