Site Reliability Engineer (SRE)の戸田です。先日医療ISAC主催のオンラインセミナー「医療ISAC Security Lecture」に登壇し、3省2ガイドラインで求められる事業者と医療機関とのリスク・コミュニケーションについて解説いたしました。

このNoteでは、発表の概要を紹介いたします。

リスク・コミュニケーションとは合意形成をすること

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインによると、リスク・コミュニケーションとは事業者が医療情報システム等の安全管理にかかる説明義務を果たし、医療機関との共通理解を形成するために実施するものです。

このガイドラインは事業者向けのものなので事業者が主語として書かれていますが、最終成果物が合意形成にあることを考えると、医療機関から積極的に事業者に対するコミュニケーションを行うことも重要だと考えています。

特に職員教育がサイバーセキュリティを高めるための鍵になること、職員教育を事業者で代行することが現実的でないことを踏まえると、医療機関側が一定の主導権を握ることが必要です。事業者からは観点の補足や、製品・サービス固有の知識や教育用コンテンツを提供をし、責任分解点や運用について相互に合意を形成していくことが理想的ではないでしょうか。

リスク・コミュニケーションの第一歩は国が提供する資料から

とはいえ中小規模の医療機関には、サイバーセキュリティの専門家以前に院内システムの専門家も少ないのが実情です。医療機関における「サイバーセキュリティを確保するために必要な措置を講じること」が法令改正で義務化されたとはいえ、いきなり始めるのは難しいでしょう。

そこで今回お勧めしたのが、法令改正を受けて公開された医療機関におけるサイバーセキュリティ対策チェックリストです。これで医療機関内で何を定めるべきかが順を追って明確になります。

加えてサービス事業者による医療情報セキュリティ開示書（SDS）も事業者から提出させることで、事業者と確認をすべきことも明確になります。何がわかっていないか、何をしなければならないのか、どんなコミュニケーションが求められるのかという「リスク・コミュニケーションのはじめかた」をこれらの書類によって明らかにできるということです。

なお、このチェックリストは事業者用も用意されています。事業者によってはリスクについての知識や理解があっても、医療機関の方々とどうコミュニケーションをとっていいのかわかりにくいところがあるかもしれません。その場合でもチェックリストを口実にSDSを渡す、SDSをベースにサービスでやれることややれないことを誠実に話すことで、その起点にできるのではないでしょうか。

この他にもいくつかの事例を引いてリスク・コミュニケーションのやり方や要点についてまとめておりますので、関心をお持ちの方はSpeakerdeckで公開しております発表資料をご確認ください。

株式会社ヘンリーではお客様と患者様の情報を守るための仲間を探しています

株式会社ヘンリーではクラウド型の電子カルテやレセプトコンピュータ（レセコン）のサービスを開発し、提供しております。お客様の大切な患者様の情報をお預かりする立場として、リスク・コミュニケーションはもちろんデータの保全やサービスの可用性維持に高い意識を持って臨んでいます。

すでに医療の場に身を置き問題解決にいそしまれている方も、今は医療とは関係のない領域で問題解決に打ち込まれている方（筆者もそうでした）も、我々のミッションや対象としている社会課題に関心を持たれた方はぜひ以下から採用サイトへ足を運んでいただけますと幸いです。