2023年4月に医療法施行規則が改正され、医療機関におけるサイバーセキュリティ対策の実施が法的に義務付けられました。サイバーセキュリティ体制の構築と、適切な管理と運用による医療情報の保護が求められるようになりましたが、何からどのように手を付けていけばよいのかわからない医療機関も少なくありません。そこで2023年5月に「医療情報システムの安全管理に関するガイドライン 第6.0版」が発表され、医療機関が実施すべき具体的な対策が提示されました。
医療機関が実施すべき具体的な対策の一例として、システム運用管理においては「機器の適切な管理」「アクセス制御の強化」「セキュリティパッチの適用」が明記され、さらに「セキュリティインシデントに備えた対応」も求められています。
また、コロナ禍を経て病院内ヘルプデスクの重要性はこれまで以上に高まりました。サーバー増設や新しい設備の導入が進み、一部事務職員のリモートワークも実施され、医療サービスを提供していくためには従業員にエンタープライズ・グレードのサービスを提供できる効果的なIT、およびサービス管理のプラットフォームが必要です。
サービスマネジメント用のソフトウェアがなければ、サービスの継続性を確保することは難しいでしょう。現在、医療機関が直面している課題を次にまとめてみました。
サイバー攻撃など重大インシデントの管理
近年、医療機関を狙ったサイバー攻撃が深刻化しています。ランサムウェア攻撃によって電子カルテや院内ネットワークが使用できなくなったケースや、関連会社のサーバーを経由する形で大病院の複数のサーバーにランサムウェア攻撃が仕掛けられた例など、国内外ともにIT人材が不足しがちな医療機関は攻撃者からターゲットにされやすい傾向があります。
Shred-it社の調査によると、医療機関の約42%がサイバー攻撃に対するインシデント対応計画を持っていないそうです。コロナ禍以降、データ侵害のコストは急騰し、1件あたり平 均923万ドルのコスト がかかっているという報告もあります。効果的なインシデント対応計画を持つ組織でも、ITSMツールの制約によって、日常のインシデント管理業務に計画を反映させられない場合があります。
基本的なヘルプデスクツールは、様々なインシデント管理に対して画一的なアプローチのみで対応しています。しかし医療機関ではプリンター故障のような小さな問題から、複数のフロアでの通信障害やサイバー攻撃のような緊急度の高い問題まで、様々な課題に直面しています。このような理由からも、医療機関では大規模なインシデント対応計画だけでなく、エンドポイント管理アプリケーションと統合してインシデントを事前検出し、過去の問題まで追跡できるITSMソリューションが必要なのです。
IT資産と非IT資産の管理が負担に
重要かつ膨大なIT資産と非IT資産を、これほど日常的に扱う組織は医療機関の他にあまりありません。IT資産管理(ITAM)機能を持つITSMツールがなければ、膨大な量の資産を管理し、インベントリを維持し、必要時に必要な資産を探し出すのは困難です。NursingTimes.net の調査によると公立病院で働く看護師の30%が、必要な機器を探すために毎回約1時間費やしていることが明らかになりました。ITSMシステム未導入による医療機関のお金とリソースの損失はかなりの額にのぼるでしょう。
医療機関の多くは、スプレッドシートとIT資産管理(ITAM)ソリューションを組み合わせて資産を管理しており、ライフサイクル全体をマッピングできるプロセスを持っていません。ほとんどの場合、ITSMソリューションはITAMソリューションに接続されておらず、大規模な変更やRCA(Root Cause Analysis:根本原因分析)を行うたびに、ヘルプデスクチームに大きな負担がかかります。
これらの点からも医療機関では、包括的かつITSMソリューションに組み込まれている 資産管理ソリューション が必要なのです。導入することでITインフラ全体を一元的に把握し、使用中のIT資産をエンドユーザーに紐づけることができます。
従業員への一貫したサービス提供の難しさ
従業員に対するITサービスの向上が、よりよい患者ケアに直結することは言うまでもありません。医療機関は従業員の役職、部署、場所などに柔軟に対応したITサービスだけでなく、従業員が利用できるITサービスすべてにアクセスできるタッチポイントも用意しなければなりません。
しかし多くの医療機関では、すべてのITサービスオプションを提供できるエンタープライズサービスデスクがないため、従業員へのサービス提供に苦労しています。様々なソリューション(ナレッジ)にアクセスできる一元化されたポータル、リクエストの追跡、承認機能なども必要です。これらの機能が備わることで、従業員が適切に対処するためのプラットフォーム構築に役立ちます。
規制とコンプライアンスへの対応
プライバシーとITセキュリティに関する様々な規則や手順を遵守しなければなりません。日本国内の場合、個人情報保護法や医療法、さらに医療情報システムの安全管理に関するガイドラインが設けられています。このガイドラインではアクセス制御やログ管理、セキュリティ教育の実施などが示されています。
また、日本国内の医療機関に直接適用されるわけではありませんが、国際基準に対応するためGDPRやHIPAAに準拠したデータ保護ポリシーを取り入れる医療機関も増えています。HIPAAは米国の規制ですが、米国籍の患者を治療し、米国の保険会社から情報提供を求められる場合などは、HIPAAの規制を遵守する必要が出てくるケースがあります。綿密なデータ管理やプロセス管理に加えて、これらのコンプライアンスを維持するためにも、包括的でエンタープライズ・グレードのITSMツールを持つことが重要です。
病院内ヘルプデスクの品質向上とコスト削減を実現する ITSMツール「ServiceDesk Plus」
医療機関のIT資産とセキュリティを一元管理
ServiceDesk Plusは、医療機関におけるIT資産管理とセキュリティ管理を効果的にサポートするITサービスマネジメント(ITSM)ツールです。以下の機能により、医療機関の情報セキュリティ管理に大きく貢献します。
IT資産の一元管理
ServiceDesk Plusは、サーバー、PC、ネットワーク機器、周辺機器、ソフトウェアなど、病院内の様々な IT資産を1つのコンソールから一元的に管理します。
- 未承認デバイスの排除…許可されていないデバイスの利用を防止し、情報漏えいなどのリスクを低減します。
- 資産情報の可視化…サーバー、PC、ネットワーク機器、周辺機器などの利用状況や在庫状況を把握でき、適切な管理ができます。
IT資産情報の自動収集
病院内で使用されているPCやサーバーなどのハードウェア。OSやウイルス対策ソフトなどの一般的なソフトウェア、および電子カルテなどの医療情報システムを含めたソフトウェア。その他にも資産のシリアル番号やリース情報など、これらを手動で管理するには限界があります。ServiceDesk Plusはネットワークスキャン機能を持ち、自動的にこれらの デバイスを検出・登録し、手動入力による手間やミスを削減します。
ソフトウェアライセンス管理
医療機関の場合、医療ソフトウェアが高額で、契約内容への遵守が厳しく問われる傾向があります。また医療機器と連携させるソフトウェアも多く、医療機関こそ効率的かつ確実なソフトウェア管理が必要です。ServiceDesk Plusは ソフトウェアライセンスの自動管理、違反通知、使用状況のレポート機能を提供(。ライセンスの過不足を防ぎ、法的リスクを低減します。
IT資産のライフサイクル管理
ServiceDesk PlusによりIT資産のライフサイクル全体を把握できるようになり、機器の老朽化やソフトウェアのサポート切れなどに事前に対応しやすくなります。例えば、MRIシステムのメンテナンスの時期や回数を正確に管理、あるいは電子カルテの端末を適切なタイミングで新しい端末に切り替えるなど、病院内におけるスムーズな医療サービスの提供を、IT資産の確実なライフサイクル管理によって支えることができます。
インシデント管理との連携
IT資産管理機能とヘルプデスク機能を1つのコンソールで連携・管理することで、セキュリティインシデントの原因を追究しやすくなります。また、インシデントによって影響を受けるデバイスやソフトウェアを迅速に特定し、影響が広がらないようトラブルシューティングができます。ServiceDesk PlusはIT資産管理とインシデント管理を統合し、リアルタイムでのデータ連携を実現。医療現場の業務継続性が確保され、患者ケアの質を守ることが可能になります。
病院内ヘルプデスクの品質向上とコスト削減を実現する ITSMツール「ServiceDesk Plus」
図解で整理:
「医療機関に包括的なプラットフォームが必要な理由」を一つの図にまとめてみました。
病院のための安全・安心なITSMを実現する
ServiceDesk Plusのご紹介
ITインシデントをスムーズに処理し、迅速に解決
- インシデント管理機能とITマネジメントとの統合によって、強固なインシデント管理戦略を策定し、組織全体の問題に対応できます。サイバー攻撃に対処するための迅速なインシデント管理を実現します。
- アラートを自動的にチケットに変換し、予期せぬ障害を防止。
- インシデントと問題を関連付けて問題分析を開始することで、問題の根本原因を突き止め、インシデントの再発を回避。
- ビジネスルールを活用して、受信したチケットに対し一連のアクションを実行。ノーコードで簡単に設定できる自動化機能によってインシデント対応を強化。
- サービスレベル管理を自動化し、タイムリーな解決を図る。
医療機関のIT資産・非IT資産を一元的にマップ化
他のITSMプロセスと連携した資産管理戦略を実装できます。ITインフラを効果的に管理するため、ライセンスのコンプライアンス、IT支出および資産の減価償却も把握できます。
- 資産検出用の統合エージェントを使用して、Windows、Linux、およびMacOSのデバイスをスキャンします。
- すべてのIT資産と非IT資産を一元的に把握。
- ドラッグ&ドロップで作成できるワークフロービルダーで、資産のライフサイクル全体を設計。
- ダッシュボードで、資産状況をリアルタイムに把握。
- 高度なリモートコントロール機能で、スムーズなリモートサポートを実現。
- 構成管理データベース により、組織内のスタッフ、資産、サービスの業務関係をマップ化。
- 構成管理データベース により、組織内のスタッフ、資産、サービスの業務関係をマップ化。
医師や医療従事者に高水準のサービスを提供
- すべてのサービス、お知らせ、ソリューション(ナレッジ)をポータルで紹介します。従業員や患者に必要な情報を簡便に提供することで、従業員の能力を向上させます。
- セルフサービスポータルで、サービスへのアクセスを一元化。
- パーソナライズされた サービスカタログによるサービス提供。
- ITSMのベストプラクティスを 人事、総務など組織の他の業務部門に拡張可能。
- チケットの様々な段階において、技術者をガイドする包括的な リクエストライフサイクルを視覚的に構築。
- 連絡先情報、予防医療、標準的な手順などをエンドユーザーに知らせるための、包括的な ナレッジベースを構築。
- Webhook、カスタムアクション、コールバックカスタム関数を使用して、ServiceDesk Plusとサードパーティ製アプリを連携し、様々なタスクを実行。
コンプライアンスに準拠し、ePHIを保護
患者の医療情報をはじめ、医療機関の住所、医療保険制度の詳細、重要な資産情報などの機密医療情報を最小限の労力で漏洩から守ります。
- 機密性の高いデータ領域を電子的保護医療情報(ePHI)としてマークし、追加領域で収集・保存されたデータを暗号化することで機密データを保護。
- ePHIとマークされたデータを個別または集合的に削除または匿名化。
- レポートやモジュールからエクスポートされるデータを、パスワード付ZIPファイルで保護。
- ePHI領域で行われたアクションを自動的に記録し、監査を簡素化。
ServiceDesk Plusには 変更管理 や リリース管理 など、ITSMのベストプラクティスがあらかじめ組み込まれています。またリソース管理もできる本格的な プロジェクト管理 モジュールにより、古い機器の更新や定期的なソフトウェアパッチの適用など、効果的な変更を設計し実行できます。包括的な ナレッジベース はスタッフと患者がサービスを自発的に検索するためのソースを提供します。さらにスマートな自動化、ノーコードの カスタマイズ 、豊富な レポート機能、 IT運用管理アプリケーションとの連携 によってヘルプデスクを強化。優れたITサービスを提供できるよう支援します。
