厚生労働省によると、医療機関における情報セキュリティインシデントは大きく4つに分類されます。(厚労省 医療情報連携ネットワーク支援Naviの図を基に一部改変)
①外部事業者等によるミス・不正
②職員によるミス
③内部不正
④外部からの攻撃
外部事業者(ベンダー)は、主に①④に関する対策が必要です。
当社は、医療情報システム等を提供するベンダーを対象として厚生労働省、経済産業省、総務省の3省によって策定された2ガイドライン(3省2ガイドライン)への対応を完了しております。
3省2ガイドラインには、外部事業者に求められる人的・組織的・技術的対策が規定されており、当社はそれら1つ1つに対応することで、①外部事業者等によるミス・不正および④外部からの攻撃のリスクを最小限に抑えています。
一方、医療機関が様々な情報をシステムを利活用する上で、医療機関における対策も不可欠です。
具体的には、USBや端末の紛失など職員によるミス(②)や内部不正(④)による情報漏えいインシデントを防ぐために、システムや端末・アカウントなどを適切に管理したり、端末やデータの持出ルールを明確化したり、職員に対する周知・教育訓練を徹底したりすることが求められています。
全業種を対象とした情報セキュリティインシデントに関する調査結果によると、原因別の情報漏えい件数は、以下のようになっています。
1位 紛失・置き忘れ(26.2%)
2位 誤操作(24.6%)
3位 不正アクセス(20.3%)
(引用:NPO日本ネットワークセキュリティ協会 2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版))
この結果からも、外部事業者によるシステムの堅牢なセキュリティ対策に加えて、医療機関におけるシステムの適切な管理やルールの設定、職員に対する周知・教育訓練が重要であるといえます。
参考