クリニックのセキュリティ対策には、大きく2つの視点が必要です。

ひとつは施設そのものが狙われたり、室内に侵入されたりすることによる被害を防ぐこと。もうひとつは、サイバー被害を防ぐことです。

それぞれどういう対策が必要なのか、早速みていきましょう。

物的被害・人的被害に対するセキュリティ対策

物的被害・人的被害を防ぐためには、ALSOKやSECOMなどのプロの力を頼ることや、防犯カメラなどのアイテム導入を検討することが望ましいでしょう。具体的にどんな被害が考えられるかをみていきましょう。

物的被害

盗難・窃盗・破損

施設内に保管している薬品や金銭のほか、スタッフの私物、場合によっては患者の私物が盗まれることもあり得ます。出入り口や受付、スタッフルームなどに防犯カメラを設置することが大切です。

また、考えたくないかもしれませんが内部の人間による犯行もあり得るので、カメラを設置していることを全員に周知させることは理想的ではありません。

また、スタッフルームの防犯カメラ設置に関しては、プライバシーの侵害にならないよう考慮することが絶対条件です。

防犯カメラの費用や、設置すべき場所、自院に向いているのはレンタルと購入のどちらを知りたい場合は以下の記事もご参照ください。

クリニックには防犯カメラが必須？　費用はどのくらい？

また、鍵の閉め忘れをなくして、開け閉めした人を記録するために、スマートロックを活用することもおすすめです。スマートロックとは、スマートフォンアプリやキーパッドなどを施錠ツールとすることで、ドアの施錠を管理するシステムのこと。メーカーによってさまざまなオプションがあり、たとえばスマートフォンを施錠ツールとする場合、GPS機能によって一定距離内に入ると自動解錠するよう設定することもできます。スマートフォンに関しての詳細は以下をご参照ください。

参照：クリニックのセキュリティを高めるスマートロックは導入すべき？

自然災害・火災

自然災害は発生を防ぐこと自体は難しいですが、火災も含めて、起こる可能性がゼロではないことを理解したうえで対策を取っておくことが必要です。

大規模な病院でなければ、「すぐに逃げられない」というパターンは少ないですが、「大切なものを持って逃げる」はなかなか難しいもの。

医療機器などはすべて買い直すこともできますが、紙カルテを復元することはできないので、もしものことを考えて電子カルテへの切り替えを進めておくことは賢明でしょう。

電子カルテは、自院にサーバーを設置して運用する「オンプレミス型電子カルテ」と、電子カルテメーカーが用意したクラウド上にデータを保存する「クラウド型電子カルテ」の大きく2タイプに分けられますが、自然災害発生時のことを考えると、後者を選ぶことが理想的といえます。また、それ以外にも、「サーバーを設置しなくていいぶん初期費用や利用料が安い」「インターネット環境さえあればどこからでもアクセスできる」「訪問看護先からでも最新のデータを確認できる」などメリットがたくさんあります。クラウド型電子カルには、「CLIUS」をはじめさまざまなメーカーのものがあるので、価格や機能などの要素をもとに比較検討してみるといいでしょう。

参照：CLIUS

人的被害

院内暴力対策

患者からスタッフへ、スタッフからスタッフへ、言葉の暴力を含む暴力行為があった際、防犯カメラで記録しておくことができたら、犯人を訴える際の証拠になります。

また、最近は逆恨みした患者がクリニックに押しかけて暴行を働くケースもあるので、万が一に備えてすぐにガードマンに駆け付けてもらえるような態勢を整えておくことも大切です。

参照：ALSOK「病院・クリニック向けセキュリティ」

参照：SECOM「病院・クリニック（医療機関）向けソリューション」

クレーマー対策

逆恨みから暴行を働く患者もある種のクレーマーですが、そのほか、ネット上で執拗に攻撃してくるタイプのクレーマーもいます。

ネガティブな口コミだけでなく、ネット上の掲示板にありもしないことを書き込んだり、SNSのアカウントに攻撃的なメッセージを送ってきたりといったケースもあります。

クレーマーの行動のなかには、予測不可能で防ぐことが難しいものもありますが、適切な対応を早めにとることは可能です。書き込みやメッセージの内容がひどい場合は、万が一のときのために記録を保存して、該当アカウントをブロックするなど対処しましょう。

何度ブロックしても新しいアカウントから攻撃を繰り返す相手に対しては、法的処置をとることが必要な場合もあります。

また、Googleをはじめ口コミを書き込めるサイトに、事実無根の悪口を書き込んできた場合は、そのような事実はないことを返信して、削除の手続きをとるなど毅然とした態度で挑むことも大切です。ただし、根拠のないネガティブな書き込みをする人のなかには、精神的に不安定でまともに話ができない人もいるので、相手を激昂させないよう十分気をつけましょう。

ストーカー対策

看護師は患者にやさしく接することが仕事ですが、それゆえに好意を持たれてストーカー被害に遭うことが多いと言われています。

ストーカー対策のためには、スタッフにGPS端末を配布することなどが有効。万が一の場合、ガードマンに駆け付けてもらえます。

参照：ALSOK「病院・クリニック向けセキュリティ」

参照：SECOM「病院・クリニック（医療機関）向けソリューション」

サイバーセキュリティ対策

続いては、サイバーセキュリティ対策について考えていきましょう。

まず、セキュリティ対策に関しては、院内のパソコンに対して対策を取っておくだけで十分ではありません。

訪問診療にノートパソコンやタブレットを使うこともあれば、自宅に仕事を持ち帰るケースもあるので、院内アクセスできるすべてのPCやタブレットに対して対策を講じることが重要です。

また、持ち出しを許可する場合、「持ち出し管理表」を用意することは必須。面倒ではありますが、毎回、承認を得てから持ち出しと形をとるのが賢明です。

また、その他の具体的なセキュリティ対策としては以下が挙げられます。

ウイルス定義ファイル、OSを最新の状態に保つ

サイバー攻撃は日々進化しているので、ウイルス定義ファイルを最新の状態に保つことは大切です。

また、WindowsのOSも常に更新し続けることが望ましいですが、使用しているソフトウェアが新しいOSに対応しなくなる可能性はあるので注意が必要です。

パスワード管理を徹底する

電子カルテを開く際にはIDとパスワードが必要ですが、ログインしたままの状態でPCを放置しておくと、第三者が簡単に電子カルテにアクセスできます。

そのため、使用後には必ずログアウトすることが大切です。

また、パスワードの定期的な変更も不可欠。そのほか、万が一外部に情報が漏洩した場合、誰が何の作業をした際にアクシデントが発生したのかを把握できるようにするために、一人ひとりに異なるIDを発行することも大事です。

SNSアカウントのIDやパスワードをしっかり管理する

集患・増患のためにSNSで発信することはとても大切ですが、SNSのセキュリティ対策が甘く、アカウントを乗っ取られてしまったら一大事です。

SNSでの発信に気を付ける

SNSでクリニックのイメージを損なう発言をしてしまうと、炎上したり悪い口コミを書かれたりする可能性が高まりますが、それを防ぐことも、ある種、セキュリティ対策といえます。また、勤務先を明らかにしたうえで個人的なアカウントでクリニックの内情などをつぶやくのも絶対にNGです。

定期的にバックアップを取る

患者の個人情報ページがサイバー攻撃の対象となった場合、過去のデータが消されてしまうこともあります。

既往歴や投薬情報がわからなくなることは、場合によっては命にも関わるため、定期的にバックアップを取って万が一に備えることが大切です。

バックアップを取っておけば、電子カルテのクラウドにアクセスできなくなったときにも、診察をストップせずに済みます。バックアップには、自院で用意したハードディスクやDVD―Rなどのほか、オンラインストレージを使うという手もあります。

怪しいメールは徹底的に無視する

セキュリティソフトやポートブロックを使用して外部からの侵入を防いでいても、マルウェアなどのウイルス付きメールを開いてしまうとあっという間に進入されてしまいます。

サイバー攻撃は日々進化していて、関係者や関係機関になりすましてメールを送ってくることも多いので、最大限注意を払って見極めることが大切です。

最近では、日本医師会職員名が書かれた不審なメールが外部関係者に送られたこともありました。

うっかり添付ファイルを開いたりURLをクリックしたりすると感染してしまうので、不審に思ったときには、件名や差出人のアドレスなどで検索してみるなどすることをおすすめします。

インターネット、医療ネットワークを分離する

外部からの接続を徹底的に防ぐために、インターネットと医療のネットワークを分離化するのもおすすめです。

そうすれば、電子カルテを使うパソコンからはインターネットにつながらないため、基本的にサイバー攻撃を受けることはありません。

出所不明なメモリや外付けハードを端末に接続しない

たとえスタッフのUSBメモリであっても、院内のパソコンには接続しないのが賢明です。スタッフが意図的にウイルスを持ち込んでいなくとも、スタッフが知らない間に感染していることもあり得ます。

社員のセキュリティ意識を高める

自分たちが日々扱っている情報は患者の大切な個人情報であり、流出することがどれほどの大問題であるのかを、社員全員が理解することはとても大切です。そのため、セキュリティ対策に関する教育を徹底することが不可欠です。

スタッフ教育をおこなううえでは、総務省や独立行政法人が作成した情報セキュリティサイトなどが役立ちます。わかりやすくまとめられているので、必要な箇所をピックアップして資料にすれば、手間をかけることなく、スタッフ教育の準備ができるでしょう。

参照：総務省　安心してインターネットを使うために「国民のための情報セキュリティサイト」

参照：独立行政法人　情報処理推進機構

Pマーク、ISMSを取得する

Pマークとは「プライバシーマーク」の通称で、個人情報の取り扱い基準を満たしているかどうかの審査基準をクリアすると取得することが可能です。また、ISMSは「Information Security Management System」の頭文字を並べた言葉で、日本語にすると「情報セキュリティマネジメントシステム」となりますが、こちらも、第三者によって、社内セキュリティが万全との評価を受けることによって認証を取得できます。

そのため、PマークやISMS認証の取得を目指してセキュリティ体制を整えることで、自ずとセキュリティが強化されることとなります。ただし、ISMSは個人開業医でも取得可能ですが、Pマークは法人でなければ取得できないので注意が必要です。Pマーク、ISMSに関して詳しくは下記をご参照ください。

⇒参照：PマークとISMSはクリニックのセキュリティ対策に有効？

PマークとISMSはクリニックのセキュリティ対策に有効？

■医療関係のセキュリティ事故にはどんな事故がある？

続いては、医療関係のセキュリティ事故には具体的にどんなセキュリティ事故がありえるのかをお伝えします。

2022年の1年間に関して、報告されているものでもっとも軒数が多いのは、「情報漏洩」または「情報漏洩の可能性アリ」です。原因は、USBメモリやPC、SDカードを紛失したことや書類のご廃棄など[o1] 。また、マルウェアの一種である「Emotet」への感染や不正アクセス、ランサムウェア感染も発生件数が多いので、対策を強化することが望ましいでしょう。

2022年4月からサイバーセキュリティ対策が義務化されている

厚生労働省は2022年4月、ランサムウェア対策などを盛り込んだ「医療情報システムの安全管理に関するガイドライン」を改訂。医療を含む14重点分野について、サイバーセキュリティ対策を義務化しました。

これによって、不正アクセスによる情報流出などが発生した場合、当局や被害者への報告を怠った企業に対しては、最大で1億円の罰則が科されることとなりました。

しかし、万全な対策を取るための経費捻出が難しい医療機関が多いのが実情です。日本病院会、全日本病院協会、日本医療法人協会、日本精神科病院協会による「四病院団体協議会」は、国に対して公的頬金支給の緊急提言を実施しています。

これによって、今後はサイバーセキュリティ対策のための補助金が用意される可能性も高まっているといえるでしょう。

ただし、それを待ってから対策するのでは時すでに遅しとなる場合もあるので、予算をかけなくてもできるパスワード管理やバックアップなどは、今のうちから定期的におこなうようにしてくださいね。

参照：厚生労働省「医療情報システムの安全管理に関するガイドライン　第5.2版」

参照：病院のサイバーセキュリティ対策への公的補助金の支給について（緊急提言）