【いまさら聞けないクリニックDXシリーズ】クラウド型電子カルテは安全？セキュリティの仕組みとクリニックで必要な対策を徹底解説！

クラウド型電子カルテを導入しようと検討したとき、多くの院長や事務長が気にされるのが「セキュリティ」の問題です。

「患者の大事な情報が漏れるのでは？」

「災害が起きたときにデータは消えない？」

「ネット経由って、逆に危ないんじゃないの？」

こうした不安を感じるのは自然なことです。しかし、現在のクラウド型電子カルテは技術的にも運用面でも万全な体制が整っており、むしろ紙カルテや院内サーバーよりも安全性が高いケースも多くあります。

この記事では、クラウド型電子カルテのセキュリティの仕組みやクリニックで必要なセキュリティ対策について、わかりやすく解説します。万全のセキュリティ対策を実践し、院内の情報漏えいを防ぎましょう。

電子カルテのセキュリティ対策が必要な理由は、以下のとおりです。

不正アクセスによる情報漏えい

不正アクセスを受け、院内の患者情報が漏えいし、問題に発展するケースがあります。たとえば、以下のようなサイバー攻撃によって深刻な被害が出る場合があるため、対策が必要です。

• ランサムウェア：感染したパソコンに保存されているデータを暗号化し、使用できない状態にしたうえで、そのデータを復号する対価を要求する不正プログラム。
  
  
• マルウェア：不正かつ有害な動作をおこなう意図で作成された悪意のあるソフトウェア。

上記以外にも、医療機関の内部関係者が意図して患者情報を外部へ持ち出す事案も報告されています。

システムの脆弱性による情報漏えい

システムに脆弱性があると、不正アクセスが多発し、院内の情報が盗まれてしまう可能性があります。

とくに電子カルテシステムを最新の状態にできていなかったり、定期的なセキュリティ評価ができていなかったりすると、システムの脆弱性が高まるでしょう。

物理的な盗難・紛失による情報漏えい

電子カルテを取り扱う端末が盗難されたり、紛失したりすることで情報漏えいにつながるケースもあります。

とくにタブレット端末やノートパソコンの場合、持ち運びが簡単にできるため、盗難や紛失のリスクが高まります。

また、生体認証などのセキュリティ機能がない場合も、情報漏えいのリスクが起こるでしょう。

通信はすべて暗号化されている

クラウド電子カルテは、インターネットを通じて情報をやり取りしますが、その通信には暗号化技術が使われています。
第三者がデータを盗み見ることはできないように設計されており、金融機関や大手ECサイトと同等以上のセキュリティが確保されています。

国内の信頼できるデータセンターで管理

医療データは、日本国内のセキュリティレベルの高いデータセンターで厳重に管理されています。アクセス制限や監視体制も整備されており、外部からの不正アクセスは徹底的に防止されています。

定期的なバックアップでデータ消失を防止

自然災害や障害が起きても、データは定期的にバックアップされているため、最新の情報をすぐに復旧可能です。紙カルテのように紛失や焼失するリスクがなく、BCP（事業継続計画）の観点からも安心です。

個人情報は端末に残さない運用

クラウド型カルテでは、PCやタブレット端末に個人情報を保存しません。ログインしている間だけデータにアクセスでき、終了後には端末には何も残らないため、端末の盗難・紛失時の情報漏洩リスクが最小限になります。

クラウド型電子カルテは、もはや「セキュリティが不安」という時代ではありません。暗号化通信や堅牢なデータセンター、端末に情報を残さない設計など、従来のカルテよりも高い安全性を備えています。しかしこうした仕組みは国から義務付けられているわけではありません。

では、そのうえで、セキュリティを重視したクラウド型カルテを選ぶにはどこに注目すべきなのでしょうか？
ここからは、クラウド型電子カルテを導入する際にセキュリティ面でチェックすべき主なポイントを解説します。それぞれを踏まえた電子カルテになっているかを確認しましょう。

3省2ガイドラインに準拠しているかを確認する

3省2ガイドラインとは、経済産業省と厚生労働省、総務省の3つが定めたガイドラインです。ガイドラインは以下の2つに分かれます。

• 経済産業省・総務省：「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
• 厚生労働省：「医療情報システムの安全管理に関するガイドライン第6.0版」

医療機関は上記のガイドラインに沿って運用する必要があるため、準拠しているかを確認しましょう。

個人情報の保護・管理規格を満たしているかを確認する

以下の規格・認証は、個人情報の適切な保護や管理に努めていることを表すものです。

• 個人情報を適切に保護・管理する指標である日本産業規格「JIS Q 15001」（通称：プライバシーマーク）
• 情報の取り扱い方を定めた国際的な枠組み「ISMS認証」
• 第三者機関によって情報の取り扱いに関する国際規格「ISO27001」

万全のセキュリティ体制で患者情報の保護や管理をするためにも、上記の規格・認証の有無を確認しましょう。

「homis」では、

• 国内データセンターでの安全なデータ保管
• 通信の暗号化による情報漏洩防止
• 定期バックアップによる災害時の備え
• 端末に個人情報を残さない設計

など、あらゆる面からセキュリティを強化しています。

さらに、運営会社であるメディカルインフォマティクス株式会社はISO27001の取得企業として、情報管理体制も国際水準で運用。

 在宅医療・訪問診療という現場で使われるからこそ、安心・安全を第一に設計されたクラウド電子カルテです。
クラウド型に不安がある方も、ぜひ一度「homis」の安心のセキュリティをご確認ください。

クラウド型電子カルテは、通信の暗号化やデータセンターでの安全管理、定期的なバックアップなど、高度なセキュリティ対策が講じられています。
しかし、それだけで万全とは言えません。
実際のセキュリティリスクの多くは、ユーザー側の「ヒューマンエラー」や「運用ミス」によって発生するケースが少なくないのです。

たとえば――

職員がIDやパスワードを他人と共有してしまう

院内のPCに勝手にUSBを挿してウイルス感染

ログアウトせずにPCを離れたことで不正アクセスが発生

こうした“現場で起きやすいミス”を防ぐには、クリニック内でも基本的なセキュリティ対策を実施することが不可欠です。

ウイルス対策ソフト

ウイルス対策ソフトとは、インターネットを介してウイルスが侵入するのを防止するソフトです。

電子カルテがウイルスに感染すると、データが暗号化され、カルテの閲覧や編集ができなくなる場合があります。

また、診察に影響が出てしまい、患者さんに対して適切な医療が提供できなくなることもあります。

診療を滞らせることがないようにするためにも、ウイルス対策ソフトのインストールは必須です。

ウイルス対策ソフトをインストールしたあとは、脆弱化を防ぐために、常に最新の状態を維持しておいてください。

ファイアウォール

ファイアウォールとは、不正なアクセスを検知し、内部ネットワークを防御するものです。

電子カルテと接続する院内システムとの間にファイアウォールを設置することで、許可した範囲内での通信が可能になります。

ファイアウォールは、セキュリティソフトのインストールや専用機器の導入によって設置できます。

設置後は、脆弱化を防止するために常に最新の状態を維持しておきましょう。

VPN接続

VPN（Virtual Private Network）接続とは、トンネリングと呼ばれる仮想のトンネルを通じて、特定のネットワーク間の通信を接続するシステムです。

VPN接続を介すことで、第三者にデータの内容を開示せずに通信できるようになります。

VPN接続をする際は、認証時に電子証明書を利用し、接続元の確認をすることでより安全性が確保しやすくなります。

不正侵入防御システム

不正侵入防御システム（IPS：Intrusion Prevention System）とは、ソフトウェアやOSに不正なアクセスがあった場合に管理者へ通知するのではなく、自動的に遮断するシステムです。

不正侵入防御システムは、不正アクセスのパターンをもとに、該当するアクセスが不正か否かを判断したうえで侵入を防止します。

自動的に不正アクセスの侵入を遮断できるため、管理者が通知を受けて判断する時間が不要です。

認証システム

認証システムとは、電子カルテ利用者の本人確認時に用いられるシステムです。IDやパスワードを設定することで、第三者がシステム内に侵入するのを防止できます。

認証システムは、顔認証や指紋認証などを加えると、より強固なセキュリティ対策につながります。

院内の運用を踏まえ、セキュリティ効果の高い認証システムを選びましょう。

運用ルール策定やスタッフへの研修

パスワード設定ルールや使用していない端末のログオフの徹底、不審なメールの添付ファイルは開かないなど運用ルールの作成と徹底できるような意識づけは不可欠です。
医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）厚生労働省や医療機関におけるサイバーセキュリティチェックリストを参考にしながら適切なセキュリティ対策を講じていきましょう。

クリニックのセキュリティに問題が生じた場合の対処法は以下のとおりです。被害を抑え、診療を継続するためにも、適切な対処を心がけましょう。

ネットワークを切断する

サイバー攻撃を受けた場合、被害を最小限にとどめるためにも、ネットワークを遮断しなければなりません。

操作を継続すると院内機器にもウイルス感染が拡大し、影響範囲が高まるため、迅速に対応しましょう。

厚生労働省へ速やかに連絡する

院内のネットワーク機器や医療機器などに関して、ウイルスへの感染疑いがある場合は、以下のいずれかの方法を選択してください。

• 厚生労働省医政局特定医薬品開発支援・医療情報担当参事官室（TEL：03-6812-7837）に連絡する
• 厚生労働省「医療機関向けセキュリティ教育支援ポータルサイト」のインシデントかも？へ連絡する

バックアップデータを活用する

サイバー攻撃を受けた場合、外部のバックアップデータを活用し、復旧に努める必要があります。

とはいえ、不用意にバックアップデータを扱うと、被害が拡大するリスクもあります。バックアップデータを取り扱う際は、ITに精通した担当者やベンダーと連携し、対処しましょう。

支払い要求に応じない

サイバー攻撃を受けたとしても、金銭の支払い要求には応じてはいけません。支払いに応じたとしても、感染の解除やデータの復元が確約されているわけではないからです。

支払いに応じることで、別の攻撃を受けたり、さらに厳しい支払い要求を受けたりすることもあるため、断固として支払わない姿勢を貫きましょう。

クリニックがおこなうべきセキュリティ対策に関するよくある質問と、その回答は以下のとおりです。

医療機関で起こりうるサイバー攻撃にはどのようなものがある？

医療機関で起こりうる主なサイバー攻撃は以下のとおりです。

• 標的型攻撃（特定のユーザーグループを狙った攻撃）
• 水飲み場型攻撃（ターゲットが頻繁に訪れるWebサイトを改ざんしてウイルスに感染させる）
• ランサムウェア（ウイルスに感染させ、身代金を要求する）
• エモテット（電子メールを介してウイルスに感染させる）

サイバー攻撃以外の情報漏えいが起こる原因は？

外部事業者や職員によるミスが原因で起こる場合もあります。

セキュリティ対策に関する知識不足や内部不正などによって起こることがあるため、継続的な院内教育の実施が必要です。

電子カルテを安全に運用するために心得ておくべきことは？

悪意のある第三者が正規のIDとパスワードを入手してしまうと、不正アクセスにつながる可能性があります。

そのため、IDとパスワードを院内関係者全員が適切に管理しておくことが大切です。

クラウド型電子カルテは、高度なセキュリティ対策が講じられており、通信の暗号化やデータセンターでの保管、定期的なバックアップにより、紙カルテや院内サーバーよりも安全性の高い選択肢になっています。

しかし、セキュリティを万全にするためには、クリニック側の基本的な対策や職員のリテラシー向上も欠かせません。ヒューマンエラーや運用ミスを防ぐためのルール作りと継続的な研修が、安全な医療提供の鍵を握ります。

クラウド型電子カルテ「homis」は、技術面・運用面の両方で強固なセキュリティ体制を整えており、在宅医療や訪問診療に特化した現場でも安心して利用いただけます。

今後の電子カルテ導入や見直しの際には、セキュリティ対策が万全かどうかをしっかりと見極めましょう。