日本の現実に目を向けつつ米国の ...-ICT技術調査 デジタルヘルス情報提供-株式会社テックナレッジハウス

BLOG / デジタルヘルスの未来

日本の現実に目を向けつつ米国の医療機器セキュリティ管理の先進事例を見る

2023.07.31 デジタルヘルスその他

前回、米国の医療イベントのHIMSSに参加して感じたことを説明させて頂いた。

その後、友人である大きな病院の院長と話したり、7/12から7/14にかけて東京のビッグサイトで開催された国際ホスピタルショウに参加した。これらを通して米国流のDXを進めるために先にやらねばならない下記のような点があると今更ながら感じた。

1)電子カルテの普及率をあげ、更には完全に導入すること(日本政府・厚労省も医療DXの工程表で2030年までに概ねすべての医療機関に電子カルテ導入を目指すといっている。)

2)患者とのコミュニケーションを図る以前に病院内の医療関係者のコミュニケーション向上、カルテの病院の外からの参照などを通した医療関係者の働き方改革、医療の質の向上

また、米国は病院がチェーン化されており、IT予算の桁も異なると思われるので、素人考えながら、他病院との連携など何か考えないとと思った。銀行の経営統合や協業で、ITの重複投資の軽減は大きなテーマとなる。

また、医療機器のセキュリティは、今後、ITを通した外とのやりとりがふえていくので日本でも重要な課題となりつつある。今回は米国で最も進んでいるといわれるMayo Clinic (米国3州で病院・診療所のネットワークを持つ)の医療機器のセキュリティー管理の現状を紹介したい。

Mayo Clinicは規模が大きいので、医療機器を管理する要員も多く置かねばならない(360人のHTM要員、つまり医療機器の管理要員を置いている)が、組織をうまく動かせば費用対効果は大きくなると思われる。一方、日本のように単一病院で投資するとなると、人を固定的に雇用するのも大変とは思うが、小さなサポート組織で全体把握・統一がやりやすいとも考えられる。

1.Mayo Clinicの医療セキュリティ管理の概況
– Mayo Clinicは、2019年以降、ステップをふんで、機器の管理を進めてきた。
– 3拠点の3万デバイスから始め、現在は100施設の50万以上のデバイスをつなげ管理している。
– どんな機器があるかを一括管理できるようするところから始め、セキュリティリスクと脆弱性を認識する段階を経て、現在は、包括的なリスク低減戦略を策定し実行するフェーズに入ってきた。
– 使っている主要なソリューションは、アセット管理のnuvoloとIoT機器のキュリティ管理のordrである。
– 本情報はHIMSSでのMayo ClinicとIoT機器のセキュリティ管理のOrdrによる共同発表による。ネット上でもほぼ同じ資料が公開されている。

2. 医療機器セキュリティ管理の3フェーズ
     下の図のように、医療機器のセキュリティ管理には3つのフェーズがある。

(1)第1段階 見える化と資産管理
 - この段階では、つなぐ可能性のある医療機器をすべて登録し常時状況を把握する。
 - 実際の導入に際しては、対象機器を徐々に広げていった。
   – これにより、自動的に医療機器の存在が確認でき、分類も可能となる。分類では、570種類に分けており、医療機器、研究開発機器、ファシリティ管理の機器、カメラ・プリンタ・スマートアシスタント(医療用途のスマートフォンなど)などの医療関係情報入出力機器がある。

(2)第2段階 リスク及び脆弱性の把握
   – デバイスごとにセキュリティ観点でのリスクと脆弱性のレーティング付けを行う。
  –  広い意味でリスクとしては、下記のようなことが考えられる。
   セキュリティインシデントのおこるリスク(ランサムウェアなど)、個人の健康
  情報が漏洩するリスク、医療上のリスク(動作しない、ある場所がわからないなど)、
  デバイスの脆弱性(OSが古い、SW購入サイトからの侵入など)
 - その中で、非常にリスクが大きいと評価されたものに、Windowsの古いOSである
       Windows 7の利用があった。9000を超える脆弱なWindows 7のOSを使った機器が
      存在していたため、これらの新機種への置き換えに5億ドルのコストがかかった。

(3)第3段階 包括的なリスク低減戦略の推進
 - この第3段階では、目標を決めてリスクと脆弱性を低減する管理を行う。
 - 医療機器のセグメンテーション分けと問題部分の切り離しも行う。
    – 接続機器の動作はモニターし、検出時はeメールで通知するなどを行う。
 - ポリシーを実行するため、CISCOのISE(Identity Service Engine)という製品と統合する。  

以上、Mayo Clinicの医療機器のセキュリティ管理につき概況を説明した。米国でも、まだ病院の大多数が、このMayo Clinicのレベルには達しておらず現在でも大きな課題である。

あと、先日ネットワークソリューションの会社であるアライドテレシスのセミナーを聴く機会があった。彼らは、イードクトルのバイタル機器連携ソリューションのEVIS cloudと自社のネットワーク管理ソフトウェアのVISTA MANAGER EXを組合わせた医療機器管理ソリューションを提供しているが、年末の機能強化では、下図のように医療機器の場所も表示できる機能を加えるとのことであった。

セキュリティというとIT屋の中でも近寄りがたい専門分野だととらえられがちで、とっつきにくいところがあるのは否めないが、医療の働き方の変化、患者とのコミュニケーションや診療形態の遠隔医療への広がりなどから、セキュリティはますます重要になる。
費用面や対応要員など気になることは多いだろうが、内部で対応できない場合は、セキュリティ分野に詳しいSIベンダーに相談することをお勧めしたい。