－－ 福井県済生会病院の概要について教えてください。

当院は、1911年（明治44年）、明治天皇の済生勅語により創設されて以来、保健・医療・福祉の充実・発展をめざし、国内で数多くの事業を行ってきた社会福祉法人　恩賜財団済生会の支部として、1941年（昭和16年）に開設されました。

1993年に現在の場所（福井県福井市和田中町舟橋）に移転し、新病棟を建設しました。

－－ 病院の規模はどのくらいなのでしょうか？

病棟は、地上8階建ての本館と東館で構成されており、そのほか、ホスピス病棟などの関連施設も併設されています。

2008年末現在、診療科目は計21科、許可病床数は466床となっています。

－－ 福井県済生会病院の特徴とは？

当院では、地域医療、がん医療、急性期医療、予防医療などへ積極的に取り組んでいます。

特にがんの包括的診療には力を入れており、PET検査にも早期から取り組み、最新鋭の放射線治療機であるトモセラピーも2009年中に導入予定です。

また、がん専門薬剤師やがん看護専門看護師の研修・育成などにも力を入れています。

－－ 電子カルテを導入したのはいつ頃でしょうか？

当院では、2002年の10月より電子カルテの運用を開始しました。

当時は、カルテ情報の電子化が認められて、数年しか経っておらず、まだ電子カルテを本格稼働させている病院は少なかったと思います。

－－ セキュリティ診断を受けることになったきっかけを教えてください。

そもそも当院の電子カルテシステムは、外部ネットワークとは接続しない「閉じたシステム」として運用してきましたので、セキュリティに関する危機感は希薄でした。

ところが、2006年、情報共有のために院内ポータルサイトを設けることになり、それまで専用端末として使用してきた電子カルテ用の端末からもポータルサイトへとアクセスできるよう、システムの構成を拡張することとなりました。

そうなると、インターネットに接続している一般ユーザが利用する院内情報系の端末約800台と、電子カルテ系の端末200台が、同じポータルサイトのサーバを利用することとなります。

そこで、電子カルテシステムのセキュリティが適正かどうかを客観的に判断してもらい、現状を把握しようということで、セキュリティ診断を行うこととしました。

－－ 診断結果はどうだったのでしょうか？

予想していた以上に厳しい結果で、さまざまなセキュリティ問題が明るみになり、重大な問題も多く発見されました。

－－ 具体的にはどのような内容だったのでしょうか？

セキュリティに関することなので、診断結果について詳細にお話しすることはできませんが、まずはシステムの導入初期に要塞化がなされていない（システムのアクセス権限がデフォルトのままなど）とか、運用管理において適切にセキュリティパッチが適用されていないといった、基本的なセキュリティ対策ができていないということがわかりました。

また、外部から検査データが持ち込まれることもあり、閉じたシステムだからといって、安心はできないということにも改めて気づかされました。

－－ 診断を受けたことで、すぐに対策を実施されたのでしょうか？

問題は山積みで、さまざまな設定を変更するにあたり、何をどこから手を付ければいいのか判断するのは容易ではありませんでした。

しかも電子カルテは、24時間365日、常に稼働していなければ病院の機能が停止してしまいますので、トラブルによるシステムの停止はもちろん、メンテナンスといえども、そう簡単に止めることができません。

そのため、システムの動作確認の問題から簡単に実施できない対策事項もあり、インフォセックに相談に乗ってもらいながら、それぞれのシステムの面倒を見ていただいているベンダーの方々に対策を依頼することにしました。

－－ 診断後と診断前では、セキュリティに関する意識は変わりましたか？

改めてセキュリティの重要性を認識したのは間違いありません。

しかし、それ以上に、それまで見えていなかった問題点が浮き彫りになったことで、次にしなければならないことが明確になりました。

そういった意味でも、セキュリティ診断を受けることは、さまざまな脅威からシステムを守るだけでなく、システムを継続的かつ安全に利用するためにとても有効だと思います。

また、システムを変更する時や構築するときにも必ず役立つでしょう。

－－ なぜ、インフォセックにセキュリティ診断を依頼しようと思ったのでしょうか？

インフォセックからセキュリティ診断に関して説明を受ければ、セキュリティ問題に関する知識が豊富なことは誰でもわかるでしょう。

しかしそれ以上に、具体的な例を挙げて、セキュリティ問題に詳しくない私たちにもわかりやすく、セキュリティ診断サービスの内容や効果を説明していただけましたので、好感が持てました。

また、診断結果を報告してもらったらそれで終わりということではなく、診断後の対策についても相談に乗っていただけるということでしたので、インフォセックにお願いしようということになりました。

－－ インフォセックの対応はどうでしたでしょうか？

とてもきめ細かくセキュリティ診断を行っていただき、病院サイドの視点からわかりやすいレポートをまとめていただきましたので、経営層に報告したときにも、システムの現状を正しく認識してもらうことができました。

診断後も、的確なアドバイスをいただき、ベンダーとの交渉にも立ち会っていただけましたので、とても助かりました。

－－ インフォセックへの要望などはありますでしょうか？

要望ということではないのですが、システムインフラの設計段階からインフォセックからのアドバイスをもらえれば、理想的だと思います。
システム構築後だと、対策も後手になってしまいますので、先手を打てるようになれば、対策面でもコスト面でも、メリットは大きいと思います。

－－ では最後に、インフォセックへの今後の期待をお聞かせください。

現状、電子カルテシステムは病院内の閉じたシステムとして運用していますが、将来、訪問診療の際に、病院外からカルテ情報にアクセスしたり、病院間でカルテ情報を共有したりすることになるでしょう。

そうなれば、これまで以上にセキュリティの重要性は高まるはずです。

しかし、一般的に国内の医療機関におけるセキュリティ対策は、進んでいると言える状況にはありません。

インフォセックには、ぜひ、そんな医療機関を取り巻く情報セキュリティ環境をあるべき姿へ向けて導いていただくよう、がんばってもらいたいと思います。

お忙しい中、ありがとうございました。

写真左より

• ●インフォセック　営業本部　アカウントマネージャー　秋山和秀
• ●社会福祉法人恩賜財団　済生会支部　福井県済生会病院　医療情報課　課長　塗茂裕一氏
• ●インフォセック　ソリューション本部　セキュリティアセスメントユニット
  コンサルタント　大和田利郎