医療記録の覗き見・持ち出しどう防ぐ?病院の個人情報保護におけるアクセス管理の方法
「医療記録のぞき見」や「USB持ち出し」、どう防いだら良いでしょうか?本来、セキュリティを守るはずのパスワードやICカード。しかし現場では、「ID・パスワードの使い回し」や「ICカードの貸し借り」が常態化し、逆にセキュリティホールになっていませんか?
病院のセキュリティ対策は、性善説というよりは物理制御による個人情報保護へシフトしています。この記事では、サーバー室やカルテ保管庫への厳格なアクセス管理で、内部不正を未然に防ぐ方法をご紹介します。
病院のセキュリティ対策全体のことについてはこちらの記事をご覧ください。
サイバー攻撃より怖い?病院の個人情報保護を脅かす「内部犯行」の実態とは
病院は「人の命を救う」というミッション上、「情報の共有(アクセスしやすさ)」が優先され、セキュリティが後回しにされやすい環境です。この記事では、病院での内部犯行による情報漏洩の実態と、それを防ぐための対策について解説します。
脅威の8割は内部から
多くの人が情報漏洩と聞くと、ハッカーによるサイバー攻撃を想像します。しかし、情報処理推進機構(IPA)などの調査によると、情報漏洩の原因の約8割は、実は「内部」にあります。
具体的な事例
医療機関における内部脅威は、主に以下の3つに分類されます。
1.うっかりミス(過失): USBメモリの紛失、FAXの誤送信、カルテの置き忘れなど、悪意のないヒューマンエラーが大半を占めます。しかし、いくら悪意がなくても、患者さんのプライバシー侵害という結果は同じです。例として、学会発表や自宅での勉強用に、患者データを暗号化せずにUSBに入れて持ち出し、電車や飲食店に置き忘れるケースや、回診中に食堂やナースステーションのカウンターにカルテ(またはタブレット)を放置し、見舞い客に見られてしまうケースなどがあります。
2.好奇心(覗き見): 「芸能人が入院した」「近所の人が来た」といった興味本位で、担当外のスタッフがカルテを不正に閲覧するケースです。
3.悪意(持ち出し・破壊): 医師や事務長が独立開業する際、あるいは転職する際に、「顧客リスト」として患者データを持ち出したり、人事評価や給与に不満を持った職員が処遇への不満からシステムを物理的に破壊したりするケースです。
対策の方向性
これらの事例に共通するのは、「ファイアウォール(ウイルス対策)では防げない」という点です。
内部の人間による犯行を防ぐ唯一の手段は、「権限のない人は物理的に重要な場所に近づけない(ゾーニング)」ことと、「いつ誰がそこにいたかを完全に記録する(ログ管理)」ことだけなのです。
パスワード依存の限界!医療記録へのアクセス管理はどう運用するのが正解?
医療記録へのアクセス管理、どうしていますか?パスワードや暗証番号、物理鍵ではもしかしたら医療記録が危険に晒されているかもしれません。ここではその理由と、新しいアクセス管理の方法について解説します。
3省2ガイドラインの要求
医療情報システムの安全管理に関するガイドライン(第6.0版〜)では、サイバー攻撃対策だけでなく、物理的なアクセス管理についても厳しい基準を設けています。特に重要なのが以下の3点です。
1.「二要素認証」レベルの本人確認
IDとパスワードだけの認証は、漏洩や使い回しのリスクがあるため推奨されていません。「生体認証(顔・指紋)」や「ICカード」を組み合わせ、「本人以外は絶対にアクセスできない(なりすまし不可)」環境を作ることが求められています。
2.「最小権限」でのゾーニング
医師、看護師、事務職など、役割に応じて「アクセスできる情報」と「立ち入れる場所」を明確に区別(制限)する必要があります。全員が同じ鍵を使っている状態は、この「最小権限の原則」に違反します。
3.「監査証跡(ログ)」の完全な保全
万が一の事故に備え、「いつ・誰が・どこに入ったか」の記録を長期間保存する義務があります。手書きの台帳では書き忘れや改ざんのリスクがあるため、システムによる自動記録(ログ管理)が必須となります。
従来認証の弱点
パスワード・暗証番号:暗証番号を覚えやすい「1234」に設定したり、パスワードが覚えられないからとモニターの横に付箋で貼ったりしていませんか?その状態だと、パスワードや暗証番号を設定している意味がほとんどなく、誰でも医療記録にアクセスできてしまいます。また、この方法だと「誰が」医療記録にアクセスしたかが不明瞭で、3省2ガイドラインの要求を満たすことはできません。
ICカード:権限のないスタッフが他の人のカードを借りて入室していませんか?また、不審者がカードを盗んでスタッフになりすまして入室する可能性も考えられます。ICカードだと、「どのカードを使っていつ入室したか」は分かりますが、入室したのが本当にカードの持ち主かどうかは誰にも分からず、医療記録へのアクセス管理の安全性について疑問が残ります。
「顔」なら貸し借りできない
顔認証は、生体情報を使うため「なりすまし」が物理的に不可能です。顔は貸し借りできず、「そこに本人がいた」という事実を100%証明できるため、システムが残す入退室記録は極めて高い証拠能力を持ちます。
病院の個人情報保護!サーバー室とカルテ庫を守る物理セキュリティって?
サーバー室とカルテ保管庫は病院の「最重要エリア」と言っても過言ではありません。ここでは、そのエリアを守るためにできる物理セキュリティについて解説します。
サーバー室
サイバー攻撃対策は万全でも、物理的な侵入には無防備な病院が少なくありません。もし悪意ある人物がサーバー室に侵入し、LANケーブルの切断や電源の遮断を行えば、病院機能は瞬時に麻痺します。また、サーバー本体へのUSBメモリ直挿しによるデータ持ち出しリスクもあります。
このように、サーバー室は電子カルテの心臓部ということもあり、サーバー室への入退室は、システム管理者と院長のみに限定すべきです。顔認証でサーバー室のドアをロックし関係者以外物理的に入れなくするだけでなく、「いつ・誰が入ったか」を秒単位で記録することで、犯罪抑止力が働き物理的な破壊工作やデータ抜き取りを防ぐことができます。
カルテ保管庫
過去の紙カルテや同意書が眠る倉庫も、情報の宝庫です。「過去の遺物」と思われがちですが、法的保存義務のある紙カルテや同意書、フィルムなどは、データ化されていないため「原本が盗まれたら終わり」というリスクがあります。
そんな中、カルテ保管庫の鍵管理については「鍵はナースステーションの引き出しの中」という運用が一般的で、事実上誰でも入れてしまいます。いつ誰が持ち出したかも追跡不能です。鍵管理を廃止し、顔認証に切り替えることで、「鍵の紛失リスク」をゼロにしつつ、確実なアクセスログを残せます。万が一カルテが見当たらない場合、「最後に入室したAさん」に即座に確認できます。この「見られている」という意識こそが、最大の紛失防止策になります。
「見られている」意識が抑止力に!医療記録へのアクセス管理は顔認証が最適
顔認証システムを導入すれば、「誰が・いつ・どこに入室したか」を自動で記録してくれます。ここでは、そのログがどのように犯罪防止に役立つのかについて解説します。
監査証跡としてのログ
万が一情報漏洩が起きた際、「その時間に誰が部屋にいたか」を証明できるのは、顔認証のログだけです。特に病院のような閉鎖的な空間では、防犯カメラをすべての部屋に設置するのはプライバシー上難しいですが、「入退室ログ(誰がいつ入ったか)」だけは厳格に残すことで、カメラ以上の抑止効果を発揮します。
犯罪抑止効果
セキュリティ対策において、最も重要なのは「事件が起きた後の犯人探し」ではなく、「事件を未然に防ぐこと」です。顔認証システムによる厳格なログ管理は、犯罪防止に大いに役立ちます。
1.「魔が差す」のを防ぐ心理的抑止力
多くの内部不正は、「誰も見ていない」「バレないだろう」という出来心から始まります。しかし、ドアを開けるたびに「顔」と「時間」が記録される環境であれば、「不正をすれば必ずバレる」という心理が働き、持ち出しや覗き見といった行為を未然に思いとどまらせることができます。
2.言い逃れのできない「確実な証拠」
鍵やICカードのログの場合、「盗まれた」「貸していた」と言い逃れ(否認)されるリスクがあります。顔認証ログは生体情報に基づいているため、「その人がその場にいた」という動かぬ証拠(否認防止)となり、万が一の際も迅速な事実確認が可能です。
3.無実のスタッフを守る「潔白の証明」
薬品の紛失などが起きた際、曖昧なアクセス管理では当直スタッフ全員が疑われてしまいます。正確なログがあれば、「誰が入室していないか」も証明できるため、真面目に働くスタッフを冤罪や無用な疑いから守ることも可能になります。
オープンセサミで医療記録へのアクセス管理!病院の個人情報保護におすすめ
オープンセサミは、医療記録へのアクセス管理が適切にできる顔認証システムです。正確な入退室管理が可能なことや、登録者以外のアクセスを確実にブロックできることは、シンプルですが病院の個人情報保護のために大いに役立ちます。また、オープンセサミはマスク着用のまま認証できるため、病院のサーバー室やカルテ保管庫への入退室管理に最適です。オープンセサミが少しでも気になったなら、どんな小さなことでもお気軽にお問い合わせください。