2024 年 04 月 24 日
医師の2024年問題!~スマートフォンを活用した医療現場における業務効率化とは?~
厚生労働省が推進する医師の働き方改革として、2024 年 4 月 1 日より診療に従事する勤務医には、時間外・休日労働時間の上限規制が適用されました。この規制では勤務医に対して、労働基準法に基づく規制として時間外労働を原則年間 960 時間まで(1 ヶ月平均 80 時間)、例外として一部の救急病院など、地域の医療体制を確保するために、長時間労働をせざるを得ない場合を想定して、「暫定で年間 1860 時間」の特例水準と罰則が設けられています。
厚生労働省が 2022 年に調査を実施した医師の時間外労働の勤務実態は、960 時間を超える医師の割合は全体の 21.2%、1920 時間を超える医師は 3.6% いることが判明しています。全国の入院や出産を扱う医療機関を対象にした別の調査では、回答があった 7326 の医療機関のうち、457 の医療機関が診療の体制を縮小する可能性がある旨を回答しています。
現在の医療体制レベルを維持しながら、医師の労働時間の適正化に取り組むのは国家全体の課題と言っても過言ではありません。
政府はデジタル技術などを使った業務効率化を医療機関に求めていますが、2023 年 3 月に独立行政法人情報処理推進機構(IPA)が公開した「DX 白書 2023」によると、「医療、福祉」産業における DX 化の取り組み状況はおよそ 9%と言われており、他の産業と比べて大きく遅れてしまっている状況です。
医療 DX の必要性を叫ばれる昨今において、デジタル技術を活用した医療機関における業務効率化の一例と、注意すべき医療分野におけるサイバーセキュリティについてご紹介します。
iPhone を利用した情報共有や電子カルテの確認
愛媛県四国中央市の HITO 病院では「場所や時間に縛られない情報共有の実現」のため、医師や看護師等の患者と接する職員に対し、PHS の代わりに iPhone を配付し、「チャットを利用した迅速な情報共有」、「iPhone の機能活用による事務作業の効率化」、「どこにいても患者さんの情報や電子カルテの入力 / 閲覧が可能となったことによる移動時間の削減」により、時間外労働が iPhone 導入前と比べて 54% 削減できたと公表しています。
(出典)社会医療法⼈⽯川記念会 HITO 病院「当院での働き方改革の事例紹介」
医師の 2024 年問題を解決する目的で、HITO 病院と同じような取り組みを検討されている医療機関も少なくないかも知れませんが、医療機関における業務へのスマートフォン導入について注意すべき点を次項でご説明します。
医療機関のスマートフォン活用に伴うリスク
医療機関で配付しているスマートフォンであれば紛失・盗難等に備えて MDM(Mobile Device Management)や、私物の端末を BYOD として利用する場合には MAM(Mobile Application Management)の導入検討が最初に思い浮かぶ対策と考えますが、これと同等程度に必要となってくる対策として医療情報資産へのアクセス制御が挙げられます。
医療情報という個人情報を含む非常にセンシティブな情報を扱う上で、医療機関が管理している端末のみが医療情報へアクセス可能とする仕組みが必要となります。スマートフォンの機能として備わっている生体情報をベースにした認証では「人」を特定することはできても、医療機関で管理している「端末」を特定することはできず、私物の端末を用いてアクセスされるといったリスクを秘めています。
医療機関で管理していない端末を利用して、院内の医療情報へアクセスされた場合、以下のようなリスクが考えられ、いずれも実際の医療現場で発生しているインシデントです。
- 端末の盗難や紛失に伴う情報漏えい
- 内部不正(シャドー IT)による情報漏えい
- 端末のウィルス感染を起因にした院内システムのランサムウェア等の感染
このような課題を解決する方法の一つとして、「クライアント証明書(電子証明書)を用いたクライアント認証」が挙げられます。
クライアント証明書利用によるメリット
医療機関で管理する端末へ電子証明書をインストールし、電子証明書に基づくアクセス制御を行うことにより、医療機関内で意図していない端末によるアクセスを制御することが可能となり、生体情報を用いた認証と組み合わせることによって、二要素認証を実現することができ、「端末」と「人」を確実に特定することが可能となります。
なお、厚生労働省が公開している「医療情報システムの安全管理に関するガイドライン 第 6.0 版」(以下、ガイドライン)において、医療機関で今後利用する端末には二要素認証を原則採用することが必要である旨の記載があるため、こちらの要件を満たす運用となります。
また、スマートフォンの場合、院外に持ち出して利用されるケースがあり、その際は VPN で医療機関内システムへ接続するといったことが考えられますが、ガイドラインにおいては VPN 接続を利用するには、電子証明書を用いたクライアント認証が必須であると記載されています。
ガイドラインにおける二要素認証ならび VPN 接続に関しては、BLOG:最新版「医療情報システムの安全管理に関するガイドライン」 における押さえておくべきサイバーセキュリティ対策とは?にて解説しておりますので、こちらも合わせてご確認ください。
医療現場のサイバーセキュリティ対策に必要なソリューション
サイバートラストでは、サイバー攻撃に有効な証明書ベースの認証を可能にする「サイバートラスト デバイス ID」を提供しています。「サイバートラスト デバイス ID」は、端末識別情報(MAC アドレス、IMEI、UDID、シリアル番号、Wi-Fi Mac)を遠隔で確認した上で管理者が許可した端末に登録します。
そのため、端末識別情報の特定に関する細かなアクセスポリシーの設定を行えないようなご利用環境であっても、厳格な端末認証を実施してクライアント証明書を端末に登録することで、よりセキュアにクライアント認証をご利用いただけます。
デバイス証明書をエクスポート出来ない状態で登録を行うため、管理者が意図していない管理外の端末で証明書を使われないようにすることが可能です。
「サイバートラスト デバイス ID」は、初期費用なし、10 ライセンスからご利用可能で、WEB 申し込みから 10 営業日以内の短期間で導入可能です。
なお、「サイバートラスト デバイス ID」では、無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキットをご提供しております。「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望に、是非ともトライアルを通じてデバイス ID をお試しください。
また、サイバートラストでは、デバイス ID を利用した医療情報システムへのアクセス権限の堅牢化の他に「医療情報システムの安全管理に関するガイドライン」へ適合した「サイバートラスト 医療 DX ソリューション」を提供しておりますので、何か課題やお困り事があれば是非ともお問い合わせください。
