2022年8月1日から8月22日の期間に
MRM室のサービスをご利用いただいた皆様に実施した
「サイバー攻撃から病院を守るための情報管理に関するアンケート」
の結果を報告いたします。
※17病院からご回答いただきました。
~回答していただいた病院の基礎データ~
(1)病床数
(2)医療安全対策加算の算定状況
(3)職種
(4)役割
~ 概 要 ~
・約80%の施設が、セキュリティの運用責任者及び担当者を把握していました。
・診療録などの医療情報へのアクセス権限については、全体の約70%で、アクセス権限を定め適切に運用されている一方で、約20%は、アクセス権限についてよくわかっていないという回答でした。
➥Q7結果へ
・情報機器や情報の持ち出しに関するマニュアルについては、全体の約10%の施設でわかりやすいマニュアルがあり周知されていました。
➥Q8・Q9結果へ
・個人の情報通信機器(スマートフォンなど)の医療情報システムへのアクセス制限は、ほとんどの病院で実施されていました。
・標的型メールなどのサイバー攻撃に対する教育は、実施されている施設が全体の約60%でした。
・電子カルテ等のデータのバックアップは、全体の約50%の施設で実施されていましたが、「わからない」という回答も約35%みられました。
➥Q12結果へ
・職員教育とセキュリティ対策について様々な工夫をしている一方で、セキュリティ対策と管理体制については困りごとも多いことがわかりました。
<まとめ>
最近の医療機関に対するサイバー攻撃について報道は、多くの病院の関心事となっているようです。回答者のほとんどは、医療安全管理者ですが、サイバー攻撃に備えた電子カルテのバックアップの実施状況が、40%近く把握できていないなど、情報セキュリティの管理の情報共有が十分でないようです。
またフリーアンサーでは、e-learningによる研修は実施されているようですが、企業では盛んに実施されている疑似標的型メールへの対応といった実践的な教育や、職員にわかりやすいマニュアルの作成やマニュアルの更新および周知ついては対応の遅れがみられ、医療機関のIT専門家職員の不在による影響が示唆される結果となりました。
<結果>~サイバー攻撃から病院を守るための情報管理~
(1)最近の医療機関に対する最近の医療機関に対するサイバー攻撃について報道について関心がありますか?(Q5)
(2)セキュリティの運用責任者及び担当者を把握していますか?(Q6)
(3)あなたの施設では、診療記録などの医療情報について、「誰が、どの情報までアクセスできるか」定め、適切に運用されていると思いますか(Q7)
(4)パソコンなど情報機器やそれに付随する情報の持ち出しについて、従業者にわかりやすいマニュアルがありますか?(Q8)
(5) 8.で「パソコンなど情報機器やそれに付随する情報の持ち出しについて、従業者にわかりやすいマニュアルがある」と答えた方にお尋ねします。そのマニュアルは、職員に周知されていると思いますか?(Q9)
(6)従業者個人の情報通信機器(スマートフォンなど)は医療情報システムにアクセスできないような制限が実施されていますか?(Q10)
(7)従業員に対して、標的型メールなどのサイバー攻撃に対する教育を行っていますか?(Q11)
(8)サイバー攻撃に備えて、電子カルテ等のデータのバックアップが定期的に行われていますか?(Q12)
(9)あなたの施設で、情報システムの安全管理や教育・周知等について工夫していることを教えてください。(Q13)
◆セキュリティ対策
・電子カルテを3分間操作しなかった場合、ログの確認画面がでるようにスクリーンセーバーで設定している。(400床以上)
・患者さんの情報が記録されているシステムはインターネットとは接続されていない。(99床未満)
・健診のシステムは権限の制限があり、ログインパスワードが必要となっている。(99床未満)
・患者さん持込の外部媒体は専用のPCで閲覧する。(99床未満)
◆管理体制
・トピックス等を管理職会議などで共有し各科で周知(99床未満)
・医療安全対策会議の中で、医療安全管理報告書にあがった情報システムに関する不具合を共有している(99床未満)
◆職員教育
・厚労省の情報システム管理について、全職員がEラーニングで学習している(400床以上)
・全職員対象eラーニング実施+テストで理解度調査(100~199床)
・入職時のオリエンテーションを実施。(99床未満)
・標的型メールが定期的に実施されている。(99床未満)
・入職時の情報セキュリティ教育実施(99床未満)
・年1回の情報セキュリティ教育実施(99床未満)
・毎月1回開催する定例会内で情報発信(99床未満)
・コロナ禍ということでWeb研修を行った。(300~399床)
・不定期にシステム安全管理テストを実施している。(99床未満)
(10)情報システム安全管理や教育・周知等で、気になっていることや、困っていることがあれば教えてください。(Q14)
✤セキュリティ対策
・添付ファイルが、未だにZipファイルのため、他施設とのメールのやりとりで不便を感じている(400床以上)
・個人USBの運用について、徹底できない(研究や事例検討などでPWを設定していない個人USBを使用し紛失しそうになる)(400床以上)
・今後医療情報システムが外部(インターネット)と接続することが多くなるので、セキュリティの強化対策を検討中(99床未満)
・健診のシステムはパスワードがないとログインできないが、外来診療は紙カルテなので閲覧権限があいまい(99床未満)
・安全管理対策のため、インターネットの動画視聴に制限がかかり、厚労省からの動画配信などがすぐに見れない(99床未満)
✤管理体制
・コスメティックコンプライアンス(表面的遵守)が心配(特に上層部や医師)(100~199床)
・情報システムを管理する部門がない(200~299床)
・情報システム委員会でシステム管理についての情報提供はありますが、周知できているかの確認が行われないため職員の認知が分からない(300~399床)
✤職員教育
・パソコンに詳しくないため、安全管理のためのシステムが使い勝手を悪くしており、操作方法が更新される度分からなくなる(99床未満)
・情報管理の責任者が交代してからマニュアルの改訂や教育体制づくりがあまり進んでいないので、早急なる対応が課題(300~399床)
✤その他
・今後電子カルテ導入する際の不安はとてもある(100~199床)
・医療情報システムの安全管理に関するガイドラインの存在は把握しているが、全国の病床を持たない中小医療機関、情報システム部門を持たない医療機関など、どこまで対応しているのか疑問に思う(99床未満)