セキュリティUSBメモリー「ED-E3/4G」導入事例【函館中央病院様】

北海道の道南地域、函館市に位置する函館中央病院は、22科の診療科目を掲げる総合病院だ。1930（昭和5）年の誕生以来およそ80年もの歴史を持ち、約980名ものスタッフを抱える同院は、道南地域を支える基幹病院として、地域の住民に安心と信頼の医療を提供している。

同病院は2011年にアイ・オーのセキュリティUSBメモリー「ED-E3/4G」をおよそ300本導入し、院内での業務に利用している。「約90名いる先生方（ドクター）には1人1本、その他看護師、事務員にも必要に応じて配布し、ネットワーク経由ではやりとりが行えないPC間のデータ移動に使用しています」と説明するのは、製品導入の旗振り役となった同院情報システム課課長の九嶋政広氏だ。

USBメモリーで持ち運ばれるデータは、レントゲンの写真画像データ、顕微鏡で撮った画像、手術の風景のほか、検査結果を数値化したExcelデータといった診療データが多くを占める。これらは学会データや研究資料データとして必要になるため、USBメモリーを用いて別のPCに移されるケースが多いのだという。「データを持ちだしてほしくないのはやまやまですが、職務上、学会に持っていったり、大学に持っていくことは避けられません。その場合はこのUSBメモリーを使って頂くことにしています。（九嶋氏）」

従来は個人で所有しているUSBメモリーを利用するケースもあったそうだが、現在では同院内でのUSBメモリの利用は、このセキュリティUSBメモリー「ED-E3/4G」に一本化されているという。そんな同院がこのUSBメモリーを導入するきっかけとなったのは、公益財団法人日本医療機能評価機構が運営している「病院機能評価」を受審し、取得したことにある。

ページの先頭へ

「病院機能評価」とは、医療施設の機能・安全管理体制・療養環境などを第三者機関が評価し、問題点があれば改善を促す仕組みだ。300個以上の評価基準（評価項目）について複数の評価調査者（サーベイヤー）が5段階で評価を行い、すべての項目で3以上の評点が得られた場合のみ評価認定が行われる。つまりこの認定を受けていれば、良い医療を効果的に提供できる医療施設であることが、客観的かつ学術的に認められた証ということになる。

2012年5月の時点では、全国8650病院のうちこの「病院機能評価」の認定を受けているのは1/3以下の2431病院に過ぎない。さらにいちど認定されたら終わりというわけではなく、5年ごとに更新が必要という厳しいシステムになっている。同院は2007年に初めてこの「病院機能評価」の認定施設となったのち、2012年には最新の基準である「Version 6」について認定を更新し、今に至っている。

この「病院機能評価」では、医療施設の運営や責任体制、医療の質にまつわる項目はもちろんのこと、情報システム管理機能についても評価項目が用意されている。例えば「IT活用の方針が明確である」「情報システムの導入・活用について計画的に対応が図られている」のほか「情報システム管理の規程・手順が適切に整備されている」など管理規定にまつわる項目もある。つまりこの病院機能評価を受審するにあたっては、院内での情報の取扱について詳細な規定を作り、計画的に運用する必要があるというわけだ。

また、この「病院機能評価」とは別に、厚生労働省が作成した「医療情報システムの安全管理に関するガイドライン」という指針も存在する。こちらは医療・介護関係事業者が個人情報を取り扱う際の要件を3段階の重要度別に明示したもので、例えばUSBメモリーなどの情報記録可搬媒体については、持ち出し時のルールを運用管理規程で定める、起動パスワードを設定する、盗難や置き忘れに対応する措置として暗号化を行う、といった具体的なガイドラインが記載されている。

医療施設にとってみれば、後者の指針、つまり厚労省のガイドラインに準拠した運用管理規定を用意しておけば、前者の「病院機能評価」の要件もあわせて満たせる可能性が高いということになる。もっとも、たとえ運用管理規定を用意できたとしても、それに適合した設備や機器を選定し、導入とともに現場に利用ルールを周知徹底するのはたいへんな労力を割かなくてはいけない。とくにUSBメモリーの場合、セキュリティ機能についての知識が乏しければ、どの製品が運用規定の要件を満たしているのか分からないこともしばしばで、選定の段階から頭を悩ませることになる。

それを乗り越えてなんとか導入にこぎつけたとしても、万一紛失などによる情報漏えいが発生した場合のダメージは大きい。そのため認定の取得を急ぐ医療施設の中には、現場の利便性を考慮せず、USBメモリーなどの外部記憶媒体の使用そのものを禁止してしまうケースもあるという。もしその結果、規定に反したUSBメモリーの使い方が現場でまかり通るようになってしまえば、まったくの逆効果ということになりかねない。

ページの先頭へ

こうした中、同院が定めた外部記憶媒体の運用規定を満たせる製品として導入されたのが、冒頭で紹介したアイ・オーのセキュリティUSBメモリー「ED-E3/4G」だ。パスワードログイン、ハードウェア暗号化など、厚労省のガイドラインの中で最低限必要とされる機能を備えており、またこの種の製品としてはコストパフォーマンスも高い。およそ300本というまとまった数の導入を予定していた同院にとっては、まさにおあつらえ向きの製品だったというわけだ。

ログイン画面イメージ

ちなみに「病院機能評価」の際には、調査に訪れた評価調査者（サーベイヤー）から、院内におけるデータの運用管理について聞き取りが入ったのだという。「どのように管理をしていますかと問われたので、持ち出す場合はこのような媒体を使っていますとUSBメモリーの現物を見せて説明したところ、納得していただけました。おかげさまで、病院機能評価のシステム関連の項目はすべて良好な評価を得ることができました。」と、九嶋氏は想定通りの評価を得られたことに満足の表情を見せる。

ページの先頭へ

「病院機能評価」では、製品そのものの機能はもちろん、運用管理の規定も大きなウェイトを占める。具体的にどのような運用管理をしているのか、もう少し詳しく教えてもらうことにしよう。

「私の所属する情報システム課で、USBメモリー本体のシリアルナンバーと内部の個体番号をすべて控え、どの番号のUSBメモリーが誰に渡っているかを台帳で管理しています。万一紛失して拾われた場合でも、台帳を見れば誰のUSBメモリーなのかはすぐ把握できるというわけです。（九嶋氏）」

ナンバリングされたUSBメモリー

USBメモリーを同院に納入している石田文具の石田氏も「今回のセキュリティUSBメモリーを入れて以降、それ以外のUSBメモリーの発注は来ていないですね」と、規定に反してほかのUSBメモリーが使用されていない事実を裏付ける。「病院機能評価」の認定取得をきっかけにしたセキュリティ意識の向上が、これら外部記憶媒体の扱いにおいても、職員の間に浸透しているというわけだ。

ページの先頭へ

同院の次なる課題は、これまでの「最低限のガイドライン」から、そのひとつ上の段階である「推奨されるガイドライン」に合わせた運用体制を整え、病院機能評価における評点をさらに上げていくことにある。その具体例のひとつに、USBメモリーの利用ログの収集を行なっていく計画がある。

「共有データを管理するワークステーションからUSBメモリーでデータを持ち出した際、現在はどの先生がいつログインしたかまでは分かるようにはなっていますが、誰がいつどのファイルを持ち出したかは分かりません。このログを残し、ファイル単位で追跡できるようにするのが直近の課題といえます。（九嶋氏）」。

また、将来的には、アンチウィルス機能などの追加も考えられるという。「今回はまずは暗号化とパスワード認証機能を重視し、アンチウイルス機能は後回しになりましたが、ウィルスはインターネット経由よりもUSBメモリーで持ち込まれることが少なくありません。次回のアップデートでは、これらに対応した製品の導入も視野に入れています。（九嶋氏）」

さらに、厚生労働省の「医療情報システムの安全管理に関するガイドライン」が、来春に新しいバージョンへのアップデートが行われるのに併せ、同院でも規定の見直しを行うことになる見込みだという。

同院エントランスにある認定証

ページの先頭へ