本当にある電子カルテセキュリティの怖い話

小さい医療機関の話です。平成の末期以降くらいの話なので、日本の医療機関の全部が同じ状況ではないと思いますが、問題提起かつ懺悔として書きます。医療業界は、閉鎖的で体質が古く、良くも悪くも既得権益が強いので、似たような状況の医療機関はかなり多いと推測しています。

毎日ネットワーク障害、監視無し

電子カルテがインストールされていたWindowsのPC達は、検査システム、X線、診察予約システム、医事システム、その他の医療ベンダーのWindowsのPC達と院内LANだけではなく、ヤマハ経由のWANでSSLのウェブサイトに限りインターネットを使える状態な部分もあった。オンプレ電子カルテの医療ベンダー企業の営業職が構築したプライベートネットワークの閉ざされたLANとインターネットのWANにつながっているパブリックなLANで別けられていた(と思われる)ネットワークに他オンプレ医療ベンダー企業が適当に継ぎ足して、たくさんループしている無法地帯なカオスネットワークが既に爆誕していた(医療機関に限らず、中小零細企業でも起こりがちな現象)。

「(いろいろ不具合が増えるから)WindowsUpdateやらないで!」と言うオンプレ電子カルテベンダー企業

品質に見合っていない毎月の高額請求なオンプレ電子カルテベンダー企業(おそらく一部上場企業の子会社)。診察予約システムとかの他オンプレ医療ベンダーもおそらくWSUS(Windows Server Update Services)でWindowsUpdate管理やアプリケーションのアップデートもしていない。ネットワーク障害に起因する問題が起きて、各ベンダーの営業職に電話してもどのオンプレ医療ベンダーが原因なのか、もちろんわからない。情報を集めて障害要因として可能性が高そうな部分について、ベンダーの営業職に設定がどうなっているか?などの質問をしても返事がかえってこない、議論すら出来ない。既に当方では視認済で設定を修正したかった部分もありましたが、メーカー仕様を一方的に変えると契約保証外という話を経営者医師とも行い、手をこまねいていました。再起動してもちろん治らない。ログ保管(調査)やネットワーク監視などもしていないので、インシデントが起きていても誰もわからない、気付くことすら出来ない状況。

電子カルテ導入時の選定環境

  1. レガシーオンプレを販売する(しかない)医療ベンダー企業(当時の肌感覚では、このような会社は多いと感じた)
  2. 電子カルテなどのシステム導入選定時に適切な助言者が側にいない経営者医師(インターフェイスなどの表面上の使い勝手などを判断する能力はある、ただし、IT資産管理は専門外かつ多忙で優れた選定能力はない)
  3. 研修医時代から使い慣れている電子カルテベンダー
  4. 知人の医師や開業コンサルによって紹介されたオンプレ電子カルテベンダー(不動産、医療機器、医薬品卸、調剤薬局、医療人材などの企業が本業の新たな売上開拓目的のための子会社みたいな開業コンサル企業が多い。IT資産管理に長けた開業コンサルはほとんど皆無だと思う。コンサルというよりもただの開業サポート、医師が開業時に自分で開業方法を調べず、開業を丸投げする寄りどころ。
  5. マーケティング集客に力を入れているクラウド電子カルテベンダー(品質ではなく医師同士の人脈紹介によって、受注で負けるケースがありそう。手術の術式など、医業の本業は医師間の話を信用するべきかも知れませんが、情報管理については医療職の人の話だけではなく、情報管理を専門とする人の話も経営者医師は確認するべき)

医療業界に限られる現象ではないですが、品質が良い(電子カルテだ)から選出採用されるわけではない。各種アップデートを継続できないレガシーシステムのデメリットに気付くことができる経営者医師が増えない限り、1から5の理由により競合間で緊張感のある市場競争が発生しにくく、新規開業でレガシーなオンプレ電子カルテが選定採用され続けるリスクは常にある。全てのオンプレが悪いと考えてはいないですが、品質の低いオンプレ業者が「医師間の口コミ紹介」や「医療コンサル言いなりの開業医」で契約数を伸ばし、正当に評価されず、淘汰されずに残り続けることが問題。

レガシーIT資産を新規購入し、イニシャルコスト数千万円とサポート費用で毎月数十万円を医療機関がオンプレ医療ベンダーに対してずっと支払い続けていた記憶がある。今でも品質と価格が乖離したオンプレ電子カルテを使い続けている医療機関は多いと思う。新規開発リリース直後は、それなりに最新技術の電子カルテシステムだったのかもしれない、脆弱性も少なかったのかもしれない。ソフトウェアのアップデートをできないオンプレが、ハードもソフトも致命的なセキュリティ上の欠陥を抱えたまま使われる。無責任な企業は、インシデント有無に気づく能力がない顧客へ拡販をひたすら続けている。情報弱者を相手に詐欺みたいなビジネスを行っている事に限りなく近い。脆弱性が検出されるのは仕方ない、しかし、Windows Updateの強制禁止、サポート料金を払っているのに各種アプリケーションはアップデートされないというケースも数多くあった。販売企業の経営者の無能さがよく現れていると感じていました。

当時の主な業務内容

初めての一人情シスだったこともあり、視野狭く以下の業務のみで過ごしていた

  • 手作業WindowsUpdateやキッティング(医療ベンダー範疇外のWindowsが多数あった)
  • オンプレスパゲッティネットワークの調査と作図(メチャクチャ大変だった)
  • IT資産棚卸しとリストアップ
  • ネットワーク監視ツールがない状況下で解決策を見いだせず無限に呼び出されるネットワーク障害対応
  • 各種機器の再起動という意味がないネットワーク保守
  • ホームページ保守

など、取引先となる医療機関に対し、非常に付加価値が低い1人情シスでした。本当にすみません。

自分の醜態を棚に上げて言えるのは、オンプレ医療ベンダー企業は一部上場企業から小規模企業まで数多くの取引先があったけど、レガシーシステムからクラウドネイティブやアップデートを持続できるものに生まれ変わろうとしているオンプレ医療ベンダー企業は少なく、ベンダーの営業職と会話しても危機感が非常に薄かった。勉強しない営業職社員が多く、企業の経営者側も営業職と一緒に勉強を行うべき、無責任な製品を販売継続している医療ベンダー企業が多い。ベンダーの会社ホームページの見た目のデザインや文言だけが今風で、中身はアップデートできないオンプレで実態はレガシーな医療ベンダー企業というのは多かった。

当時の環境

  • WSUS 無し
  • Microsoft Intune 無し
  • (Azure) ActiveDirectoryなどのユーザーストア 無し
  • OktaなどのIDP 無し(SSO導入無し)
  • CASB無し
  • EDR無し
  • 数十台規模のWindowsなオンプレ電子カルテ(おそらく医事も同居していた)
  • ヤマハルーター(オンプレ医療ベンダーの中には、開院時よりも10年以上前の100Mbpsの100BASE-T製品でネットワークを継ぎ足しており、ボトルネックを創出していたりする)
  • ネットワーク監視ツール/ログ保管 無し
  • アプライアンス/UTM 無し
  • 電子カルテ親機のWindowsServerはUPS有り
  • 電子カルテのログインアカウントは職種単位で使い回し、ブルートフォースで1秒で全滅しそうなIT資産のパスワード(導入時を知りませんが、電子カルテベンダー企業が、初期の導入時に好ましくないパスワード慣習を持ち込んだ様に見えました。医療機関側に忖度しすぎて、患者の個人情報の漏洩リスクが犠牲になっていると感じました。)
  • ログインパスワードのメモが患者に見えそう。いや見えてた?忘れた・・・。
  • オンプレ診察予約システム
  • Windows7でインターネット接続している医療ベンダー(おそらく未だに拡販も営業も続けている)
  • 電子カルテベンダーによるキッティング時にウィルス対策ソフトのインストール有効化を忘れ去られ、そのまま使われていた受付のWindows
  • ループしまくりなネットワーク
  • その他の様々なオンプレ医療ベンダー
  • 営業終了後は、シャットダウンしているオンプレ電子カルテ(セキュリティ対策としてオンプレ電子カルテベンダーが決めたことだったのかもしれない)
  • 保険医療機関・保険薬局に係るオンライン請求で普通にIE使っていた(VPN経由でやってたかな?忘れた・・・)

医師による医療機関への監査

地域の医師会の医師なのか?監査対象医療機関と監査医師の関係は不明ですが、監査対象医療機関で働いていない外部の監査医師1人が数時間で医業部分だけを監査していたイメージ、IT資産管理についての監査は形式的な書類提出だけに見えた。IT資産管理については、おそらくどんな品質のドキュメントでも通過するくらいザル。おそらく監査官の医師はIT資産管理のドキュメントを読む気も時間も無いし、スキルも無いと思う。本来、全く縁故がない人材が専門分野別に公平に監査をするべき。医療業界は医局が崩壊しても医師会やら出身大学やら科目別学会やら、狭いコミュニティのゆるい繋がりによる個人間の情が入った不公平な監査になりやすそうに感じた(事実と違っていたらすみません)。施設基準などの認定取得の違いはありますが、地域や医療期間の規模による監査内容の違いとかもあるのかなぁ?国内全体で公平で信頼できる監査になるように医療機関に対する監査を分野別で品質向上してほしい。個人的には、医療機関の規模に関係なく、IT資産の監査は「ネットワーク設計/構築/保守」と「アップデート継続性(脆弱性管理)」と「アカウント増減管理(職員の入退場管理)」の切り口で監査をするべきだと考えます。

医療機関のセキュリティ監査をどうしたらいいか

医業についての監査はよくわかりませんが、医療機関のセキュリティ監査は、予算を考えると、3次~2次救急などを行う、規模が大きめな地域の基幹総合病院は、民間企業のセキュリティ監査をそのまま導入したらいいと思う。民間の監査企業で問題が起きていたりする事もありますが、非専門分野も含めて医師が自身の専門範囲だけを視野不足なまま監査する状況よりも改善出来る。既にそうなってるのか知りませんが。そして、守るべき個人情報は、小さい医療機関にも多い。「うちは小さいクリニック(小さい会社)だから狙われるわけがない」と言うはセリフは、単なる思考停止です。経営者医師の方は絶対に言うべきではない。120%嘘になる。セキュリティのインシデントや脅威について医療機関の規模は一切関係ない。脆弱性がなくても偵察調査段階から、日々、脅威ロボットは全世界を巡回しています。

顛末

当時、電子カルテベンダー企業が仲良くしていそうなネットワーク専業屋さんと思われる企業にバトンタッチして、UTM導入を推奨して、私は自身のスキル不足でこの医療機関との取引から身を引きました。力不足ですみませんでした。知識経験は以前に比べたら増えたので、申し訳なく思う事と同時に、当時の自分自身に落胆する。

オンプレをAWS ALBでSSO

オンプレ達がクラウドネイティブになるまで、AWSに移行し、AWS ALBでSSOをするのは、お手軽で良いと思う。

医療機関のIT資産の刷新

IT資産環境の刷新は、医療機関の経営者医師が聞く耳を持つかどうかが全てとなる。民間企業と同じ様に、院内は、操作方法の覚え直しや業務フロー変更に対して猛烈な反対をする人も多く、弱腰になる経営者医師も多そう。経営的には、医療機関をIT資産から刷新していく原資金の有無が重要となり、「診療報酬のトレンドに合わせた集患が上手な医療機関かどうか」=「経営者医師や事務長などの能力」で、医大や専門学校では教えてもらえない分野となる。IT資産の刷新を、逆風しか無い職場で1人情シス(規模が小さいと情シス担当0人が普通)が行うのも実に厳しい。

刷新できない状況なら、エンジニア的にはもっと風通しがいい他の企業でチャレンジさせてもらえる開発案件を受注したほうが、キャリアを積み、自身の将来の仕事や収入を確保しやすい。

医療IT資産の管理制度に政治から働きかけて、医師の既得権益にも勝って、補助金付きで枠組みから刷新しないと小さい医療機関まで個人情報保護は出来ないと思う。このへんは医療業界のIT資産刷新が進まない絶望的な原因だと思う。医療機関の老朽化した建物の刷新は早く進む事が多いですが、IT資産の老朽化に対して刷新はがっつり停滞(日本らしさをこういうところで発揮してほしくない)している。

進化しない人も組織も淘汰されるか、成長するべき

医大や各種の医療専門学校などで、患者の個人情報保護と経営の授業を真剣に取り入れていくと30年スパンで医療業界の文化や意識から変わっていくかもしれない。『私は医療関係の職種だから食いっぱぐれない』という思考の人が非常に多い。事実ですが、その思考は組織単位で思考停止していくので成長が鈍化し、既得権益にしがみつく人材を増やす。医療機関や医療機関だけに売上依存している企業は、国民健康保険制度による診療報酬を頂いている立場で、100%自力でお金を稼ぐ民間企業に比べて、危機意識の希薄な人材が比較的に多い気がする。

ディスりたいのではなく、医療業界のIT資産環境や個人情報保護を危機管理としてボトムアップしたい。こんな医療機関に健康情報を託したくない。私自身も含み、勉強しない人、閉鎖的な医療業界の人脈受注に依存してセキュリティ脅威対策を軽視する怠惰な医療ベンダー企業、レガシーでメンテナンス出来ないIT資産、は全て淘汰もしくは成長しないと改善できない。医療、厚労省、政治家だけに任せていたら、医療IT資産への脅威による被害は増え続ける一方だと考えられる。

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください