本当にある電子カルテセキュリティなどの怖い話
平成の末期以降くらいの話なので、日本の医療機関の全部が同じ状況ではないと思いますが、問題提起かつ懺悔として書きます。医療業界は、閉鎖的で体質が古く、良くも悪くも既得権益が強いので、似たような状況の医療機関は極めて多いと推測しています。日本の医療ITには、愛の鞭が速やかに数多く必要です。
医療機関と医療ITアプリケーションベンダーの間で、医療機関への寄り過ぎな営業姿勢による品質度外視な契約成立を防ぐため、MR職にMR資格があるように、医療アプリケーションベンダーの経営者や営業職に、必須ITセキュリティ資格制度を設けるなど、医療ITアプリケーションベンダーには製品のセキュリティ品質を担保する何らかのルールが必要だと思います。ハイブリッドクラウド、マルチクラウド、API連携が当たり前の時代でもあるので、ルールの適用範囲も電子カルテなどの医療ITアプリケーションの中核だけではなく、幅広く適用する必要があります。
医療アプリケーションベンダーの営業職の全員とは言いませんが「セキュリティ以前にITリテラシーに欠ける人」が存在します。経験上、医療IT製品をセキュリティ信頼性度外視でIT素人が営業販売しているケースが散見されました。特に小規模医療機関の院内ネットワークの責任所在は有りません。全部ではないですが、お金さえ得られたら良いという姿勢が透けて見える医療ITアプリケーションベンダー経営者の責任感や倫理観を疑うケースが何度もありました。小規模医療機関の1人情シスをしていた際、製品の技術的な質問に医療ITアプリケーションベンダー企業から返答がこない、という事もありました。誤解のないように全てのベンダーではありません。
電子カルテなど、医療ITアプリケーションの中核から離れている、しかし、患者ID連携が必要な予約WEBシステムや院内診察室待合システムなどではこの傾向が強いです。令和になって改善されていることを願います。
私自身、セキュリティやITスキルが低い事を承知の上、一部上場企業のベンダーに対しても極めて失礼を承知の上で申し上げております。飲食店で働く方に対して、飲食のプロなのだから「ITリテラシーが低い」と言うのは非常に失礼です。しかし、医療ITアプリケーションを販売する営業職などに対し「ITリテラシーが低い」と言うのは、失礼ではない。企業規模に関係なく人命保護の意味でもプロフェッショナルとして活動している必要があります。
吊し上げのような声をあげるだけでは、ITリテラシーが低い医療ITアプリケーションベンダーの方々の収入源を否定することになり、酷な行動ゆえ、対立を作り出してしまいます。この先のアイデアが重要だと思います。
毎日ネットワーク障害、監視無し
電子カルテがインストールされていたWindowsのPC達は、検査システム、X線、診察予約システム、医事システム、その他医療ベンダーのWindowsのPC達と院内LANだけではなく、ヤマハルーター経由のローカルネットワーク内でSSLのウェブサイトに限りインターネットを使える状態な部分もあった。
オンプレ電子カルテの医療ベンダー企業の営業職が構築したプライベートネットワークの閉ざされたLAN、インターネットのWANにつながっているパブリックネットワークなLAN、最初は2系統がしっかり別けられていた(と思われる)ネットワーク。他オンプレ医療ベンダー企業が適当にネットワークに継ぎ足して、パブリックネットワークとプライベートネットワークが混ざりながら様々にループしている無法地帯なカオスネットワークが既に爆誕していた(医療機関に限らず、中小零細企業でも起こりがちな現象)。
「(いろいろ不具合が増えるから)WindowsUpdateやらないで!」と言うオンプレ電子カルテベンダー企業
品質に見合っていない毎月の高額請求なオンプレ電子カルテベンダー企業(一部上場企業の子会社)。診察予約システムとかの他オンプレ医療ベンダーもおそらくADやWSUS(Windows Server Update Services)でWindowsUpdate管理やアプリケーションのアップデートもしていない。ネットワーク障害に起因する問題が起きて、各ベンダーの営業職に電話してもどのオンプレ医療ベンダーが原因なのか、もちろんわからない。情報を集めて障害要因として可能性が高そうな部分について、ベンダーの営業職に設定がどうなっているか?などの質問をしても返事がかえってこない、議論すら出来ない。既に当方では視認済で設定を修正したかった部分もありましたが、メーカー仕様を一方的に変えると契約保証外という話を経営者医師とも行い、手をこまねいていました。再起動してもちろん治らない。ログ保管(調査)やネットワーク監視などもしていないので、インシデントが起きていても誰もわからない、気付くことすら出来ない状況。
電子カルテ導入時の選定環境
- レガシーオンプレを販売する(しかない)医療ベンダー企業(当時の肌感覚では、このような会社は多いと感じた)
- 電子カルテなどのシステム導入選定時に適切な助言者が側にいない経営者医師(インターフェイスなどの表面上の使い勝手などを判断する能力はある、IT資産管理は専門外)
- 研修医時代から使い慣れている電子!?カルテベンダー
- 知人の医師や開業コンサルによって紹介されたオンプレ電子カルテベンダー(不動産、医療機器、医薬品卸、調剤薬局、医療人材などの企業が本業の新たな売上開拓目的の子会社みたいな開業コンサル企業は多い。IT資産管理に長けた開業コンサルはほとんど皆無だと思う。コンサルというよりただの開業サポート、医師が開業を丸投げする寄りどころ。
- マーケティング集客に力を入れているクラウド電子カルテベンダー(品質ではなく医師同士の人脈紹介によって、受注で負けるケースあり。IT資産管理について必須基準を作り、医師人脈への営業力だけが強くて脆弱なレガシーアプリケーションを無責任に拡販し続ける医療ベンダーは出直しさせるべきだと思います)
医療業界に限られる現象ではないですが、品質が良い(電子カルテだ)から商品が選出採用されるわけではない。各種アップデートを継続できないレガシーシステムのデメリットに気付くことができる経営者医師が増えない限り、1から5の理由により競合間で緊張感のある市場競争が発生しにくく、新規開業でレガシーなオンプレ電子カルテが選定採用され続けるリスクは常にある。全てのオンプレが悪いと考えてはいないですが、品質の低いオンプレ業者が「医師間の口コミ紹介」や「医療コンサル言いなりの開業医」で契約数を伸ばし、淘汰されずに残り続けることが問題。
レガシーIT資産を新規購入し、イニシャルコスト数千万円とサポート費用で毎月数十万円を医療機関がオンプレ医療ベンダーに対してずっと支払い続けていた記憶がある。今でも品質価値と価格が乖離したオンプレ電子カルテを使い続けている医療機関は多いと思う。新規開発リリース直後は、それなりに最新技術の電子カルテシステムだったのかもしれない、脆弱性も少なかったのかもしれない。ソフトウェアのアップデートをできない管理されていないオンプレが、ハードもソフトも致命的なセキュリティ上の欠陥を抱えたまま使われる。無責任な企業は、インシデント有無に気づく能力がない顧客へ拡販をひたすら続けている。情報弱者を相手に無知な営業職が詐欺みたいなビジネスを行っている事がある。脆弱性が検出されるのは仕方ない、しかし、Windows Updateの強制禁止、サポート料金を払っているのに各種アプリケーションはアップデートされないというケースも数多くあった。販売企業の経営者の覚悟の無さや妥協がよく現れていると感じていました。
当時の主な業務内容
初めての一人情シスだったこともあり、視野狭く以下の業務のみで過ごしていた
- 手作業WindowsUpdateやキッティング(医療ベンダー範疇外のWindowsが多数あった)
- オンプレスパゲッティネットワークの調査と作図(メチャクチャ大変だった)
- IT資産棚卸しとリストアップ
- ネットワーク監視ツールがない状況下で解決策を見いだせず無限に呼び出されるネットワーク障害対応
- 各種機器の再起動という意味がないネットワーク保守
- ホームページ保守
など、取引先となる医療機関に対し、非常に付加価値が低い1人情シスでした。本当にすみません。
自分の醜態を棚に上げて言えるのは、オンプレ医療ベンダー企業は一部上場企業から小規模企業まで数多くの取引先があったけど、レガシーシステムからクラウドネイティブやアップデートを持続できるものに生まれ変わろうとしているオンプレ医療ベンダー企業は少なく、ベンダーの営業職と会話しても危機感が非常に薄かった。勉強しない営業職社員が多く、企業の経営者側も営業職と一緒に勉強を行うべき、無責任な製品を販売継続している医療ベンダー企業は存在する。ベンダーの会社ホームページの見た目のデザインや文言だけが今風で、中身はアップデートできないオンプレで実態はレガシーな医療ベンダー企業というのは多かった。
当時の環境
- WSUS 無し
- Microsoft Intune 無し
- (Azure) ActiveDirectoryなどのユーザーストア 無し
- OktaなどのIDP 無し(SSO導入無し)
- CASB無し
- EDR無し
- 数十台規模のWindowsなオンプレ電子カルテ(おそらく医事も同居していた)
- ヤマハルーター(オンプレ医療ベンダーの中には、開院時よりも10年以上前の100Mbpsの100BASE-T製品でネットワークを継ぎ足しており、ボトルネックを創出したりする企業もある)
- ネットワーク監視ツール/ログ保管 無し
- アプライアンス/UTM 無し
- 電子カルテ親機のWindowsServerはUPS有り
- 電子カルテのログインアカウントは職種単位で大規模な使い回し。ブルートフォースで0.001秒で全滅しそうなIT資産のパスワード(導入時を知りませんが、電子カルテベンダー企業が、初期の導入時に好ましくないパスワード慣習を持ち込んだ様に見えました。医療機関側の要望に忖度しすぎて、患者さんの個人情報の漏洩リスクが犠牲になっています。)
- ログインパスワードのメモが患者さんに見えそう。いや見えてた?忘れた・・・。
- オンプレかつパブリックインターネットにつながっている診察予約システム
- Windows7でインターネット接続している医療ベンダー(おそらく未だに拡販も営業も続けている)
- 電子カルテベンダーによるキッティング時にウィルス対策ソフトのインストール有効化を忘れ去られ、そのまま使われていた受付のWindows
- ループしまくりなネットワーク
- その他の様々なオンプレ医療ベンダー
- 営業終了後は、シャットダウンしているオンプレ電子カルテ(セキュリティ対策としてオンプレ電子カルテベンダーが決めたことだったのかもしれない)
- 保険医療機関・保険薬局に係るオンライン請求でIE使っていた(VPN経由でやってたかな?忘れた・・・)
医師による医療機関への監査
地域の医師会の医師なのか?監査対象医療機関と監査実施医師の関係は不明ですが、監査対象医療機関で働いていない外部の監査医師1人が数時間で医業部分だけを監査しているように見えた。
IT資産管理についての監査は形式的な書類提出だけに見えた。IT資産管理については、おそらくどんな品質のドキュメントも通過するくらいザル。おそらく監査官の医師はIT資産管理のドキュメントを読む気も時間も無い、スキルも無い。本来、全く縁故がない人材が専門分野別に公平に監査をするべき。医療業界は医局が崩壊しても医師会やら出身大学やら科目別学会やら、狭いコミュニティのゆるい繋がりによる個人間の情が入った不公平な監査になりやすそうに感じた。国内全体で公平で信頼できる監査になるように、医療機関に対する監査を医療に限られない専門分野別の有識者チームで品質向上するべき。
医療機関は、大小問わず、全監査結果のWEB公開を必須にするべき
医療機関のセキュリティ監査をどうしたらいいか
医業についての監査はよくわかりませんが、医療機関のセキュリティ監査は、3次~2次救急などを行う規模が大きめな地域の基幹総合病院だけに限らず、民間企業のセキュリティ監査をそのまま全医療機関で必須にするべきだと思う。
民間企業のセキュリティ監査を全医療機関で必須にしたら、医師が自身の医療専門範囲だけを馴れ合いの中で監査する、無責任でブラックボックスな状況よりも改善出来ます。守るべき個人情報に、医療機関の大小は関係ないです。「うちは小さいクリニック(小さい会社)だから狙われるわけがない」と言うセリフは、経営者(医師)や事務長は絶対に言うべきではない。発言者は120%嘘をついたことになります。情報セキュリティのインシデントや脅威について医療機関の規模は一切関係ないです。偵察調査段階から、日々、脅威ロボットは全世界を巡回しています。狙いやすい弱いところから攻められます。セキュリティの重大インシデントは、どれだけ小さな企業でも無差別に発生します。嘘だと思った経営者医師や事務長の方は、今すぐ各機器の各種ログ調査分析を行ってから発言してください。機器の各種ログ調査をしないまま、エビデンス無く無責任に発言しないでください。ログは1種類だけではないので、調査に必要なログを定義し、ログ取得の仕組みを設計することから始める必要があります。
顛末
当時、電子カルテベンダー企業が仲良くしていそうなネットワーク専業屋さんと思われる企業にバトンタッチして、UTM導入を推奨して、私は自身のスキル不足でこの医療機関との取引から身を引きました。力不足ですみませんでした。今も自身のスキルが足りているとは思っていませんが、申し訳なく思う事と同時に、当時の自分自身に落胆する。
医療機関のIT資産の刷新
IT資産環境の刷新は、当然ながら経営者医師次第です。民間企業と同じ様に、院内は、操作方法の覚え直しや業務フロー変更に対して猛烈な反対をする人も多く、弱腰で、なおかつ必要性を理解できない経営者医師も多そう。医療機関をIT資産から刷新していく原資金の有無が重要となり、「診療報酬のトレンドに合わせた集患が上手な医療機関かどうか」=「経営者医師や事務長などの能力」であり、医大や専門学校では教えてもらえない分野となる。IT資産の刷新を、逆風しか無い職場で1人情シス(規模が小さいと情シス担当0人が普通)が行うのも実に厳しい。
刷新できない閉鎖的な職場なら、エンジニアとしては、もっと風通しがいい他の民間企業でトレンドな技術で開発案件を受注したほうが、キャリアを積み、自身の将来の仕事や収入を確保しやすい。そのため、医療機関にITエンジニアが情報システム部として就職したい!とわくわくする様な動機や魅力も乏しいと個人的には感じています。IT投資や刷新で失敗しても前向きを保ち続けられる経営者医師がいる様な医療機関を除き、情シスであれば、案件が集まっているクラウドインテグレータ企業やAWS(Amazon社)、GCP(Google社)、Azure(Microsoft社)、英語ができるなら英語圏の有名企業、などでスキルのためにも有益なキャリアを積みたいと思うのが普通のエンジニア。生態が積極的に学習を継続するタイプの医師のキャリアパスに似ています。
医療IT資産の管理制度に国会と内閣から働きかけて、医師の保守的な既得権益にも勝って、補助金付きで枠組みから刷新しないと小さい医療機関まで個人情報保護は出来ない。このへんは医療業界のIT資産刷新が進まない絶望的な原因。医療機関の老朽化した建物の刷新は早く進む事が多いですが、IT資産の老朽化に対して刷新はがっつり停滞している。
https://www.pref.nagasaki.jp/shared/uploads/2023/03/1680269640.pdf
について、どのくらい浸透していくのか気になります。
https://www.jmedj.co.jp/journal/paper/detail.php?id=21844
の様に現実から目をそらさず、虚偽なく、誤魔化しなく、誠実に実直に対処を継続することができる人間性が最も大事です。経営が苦しい医療機関の経営者医師が、一番苦手なことです。医療機関に限らずあらゆる企業でも同じことが言えます。セキュリティと経営の相性は常に非常に難しい、企業規模が小さくなるほど困難性は激増します。
しかし、諦めなければ道は有ります。分野別に堅牢化が得意な人のノウハウを国内で横展開する!最も効率がいいと思います。
進化しない人も組織も淘汰されるか、成長するべき
医大や各種の医療専門学校などで、患者さんの個人情報保護と経営の授業を真剣に取り入れていくと30年スパンで医療業界の文化や意識から変わっていくかもしれない。『私は医療関係の職種だから食いっぱぐれない』という甘えた思考の人は非常に多い(ほぼ100%じゃないかと思う)。事実ですが、その思考は組織単位で思考停止していくので成長が鈍化し、既得権益にしがみつく思考停止人材を増やす。医療機関そのものや医療機関だけに売上依存している企業は、国民負担が非常に大きい国民健康保険制度による診療報酬を頂いている立場であるという意識が圧倒的に不足していて、100%自力でお金を稼ぐ民間企業に比べて、危機意識の希薄な人材が多い。
ディスりたいのではなく、医療業界のIT資産環境や個人情報保護を国家レベルの危機管理としてボトムアップしたい。こんな医療機関に健康情報を託したくない。私自身も含み、勉強しない人、閉鎖的な医療業界の人脈受注に依存してセキュリティ脅威対策を軽視する怠惰な医療ベンダー企業、レガシーでメンテナンス出来ないIT資産、は全て淘汰されるか、自ら成長しないと改善できない。医療IT資産への脅威による被害は増え続ける一方で先が思いやられる。他力本願ですが、NATOの日本事務所から強いアラートを発信してもらえることを大いに期待したいです。
やっぱり、CISSPの勉強しないと!頑張ろー