遠隔診療 法務ガイド

遠隔診療におけるセキュリティインシデント対応の実務：初動、調査、法務上の義務

遠隔診療におけるセキュリティインシデント発生時の対応

遠隔医療の普及に伴い、患者さんの健康情報を取り扱う医療機関にとって、情報セキュリティ対策は益々重要になっています。しかし、どれほど対策を講じていても、セキュリティインシデントが発生するリスクをゼロにすることは困難です。万が一、情報漏洩やシステムへの不正アクセスといったインシデントが発生した場合、迅速かつ適切な対応が求められます。

本記事では、遠隔診療においてセキュリティインシデントが発生した際の具体的な初動対応、原因調査、そして個人情報保護法などの法務上の義務に基づいた報告・通知について、医療機関、特に開業医の先生方が直面しうる状況を想定し、実務的な観点から解説します。

セキュリティインシデントとは何か？（遠隔診療における具体例）

遠隔診療におけるセキュリティインシデントとは、医療情報システムや通信環境において、情報の機密性、完全性、可用性が損なわれる事象全般を指します。具体的には以下のようなものが挙げられます。

• 情報漏洩: 患者さんの氏名、病歴、診療内容、決済情報などの個人情報や機微な情報が、意図せず、または不正に外部に流出すること。例えば、遠隔診療システムへの不正アクセス、スタッフによる情報の誤送信、使用済み端末からの情報漏洩などが考えられます。
• 不正アクセス: 権限を持たない者が、遠隔診療システム、電子カルテ、予約システムなどに不正に侵入すること。これにより、情報の閲覧、改ざん、削除が行われたり、システムが停止させられたりする可能性があります。
• データの改ざんまたは消失: システム障害や不正行為によって、診療データや予約データなどが不正確になったり、失われたりすること。
• システムの停止・遅延（サービス妨害攻撃など）: 遠隔診療システムがサイバー攻撃や機器の故障などにより利用できなくなり、診療が滞る、あるいは中断せざるを得なくなること。
• マルウェア感染: コンピュータウイルスなどに感染し、システムが乗っ取られたり、情報が盗まれたりすること。

これらのインシデントは、患者さんの信頼を失うだけでなく、診療継続への支障、損害賠償請求、行政指導、そして法的な罰則につながる可能性もあります。

インシデント発生時の初動対応（実務のポイント）

セキュリティインシデントが発生した疑いが生じた場合、被害の拡大を防ぎ、後の調査や法務対応を円滑に進めるために、迅速かつ適切な初動対応が極めて重要です。

1. 事象の確認とシステムの隔離:
   • 何が起きているのか、可能な範囲で状況を正確に把握します。
   • 感染源や被害範囲の拡大を防ぐため、問題が発生しているシステムやネットワークを切り離したり、影響を受ける可能性のある端末の使用を停止したりします。ただし、証拠保全のため、安易なシャットダウンなどは避け、手順を確認して実施します。
2. 被害範囲の特定:
   • どのシステムが影響を受けたのか、どのような情報に影響があるのか（例：患者情報、予約情報）、いつ頃発生したのかなど、可能な限り被害の範囲と発生時期を特定します。
3. 証拠の保全:
   • 原因究明や後の対応に必要なログ情報、関連ファイル、設定情報などを可能な限り保全します。これは専門的な知識が必要な場合が多いです。
4. 関係者への連絡:
   • 院内の関係者（院長、責任者、担当スタッフ）に速やかに報告・共有します。
   • 使用している遠隔診療システムのベンダーやIT保守を担当している業者に連絡し、技術的な支援を求めます。
   • 必要に応じて、外部のセキュリティ専門家や弁護士に相談します。
5. 原因究明の開始:
   • 初動対応と並行して、インシデントの原因を探ります。これは自院のみで行うのが難しい場合が多く、外部専門家の協力が不可欠です。

この段階で最も重要なのは、「パニックにならず、落ち着いて、事前に定めた手順に従って行動する」ことです。平時からの準備が不可欠です。

法務上の報告義務と実務対応

セキュリティインシデントにより、患者さんの情報漏洩や滅失が発生した場合、個人情報保護法に基づく報告義務や通知義務が発生する可能性があります。また、医療情報に関する各種ガイドラインにも準拠する必要があります。

個人情報保護法に基づく義務

2022年4月1日に施行された改正個人情報保護法では、個人情報取扱事業者（医療機関も含まれます）は、個人データの漏洩、滅失、毀損等が発生し、個人の権利利益を害するおそれが大きい場合、以下の対応をとることが義務付けられました。

1. 個人情報保護委員会への報告:
   • インシデント発生後、速やかに（原則として事態を把握してから概ね3～5日以内を目安に）、事態の概要、原因、内容、被害状況、対応状況などを個人情報保護委員会に速報として報告します。
   • その後、被害状況の拡大防止及び復旧等のための措置が全て完了した後、遅滞なく（原則として事態を把握してから30日以内、不正目的の場合は60日以内）、詳細な確定報告を行います。
2. 本人への通知:
   • 漏洩等の発生により、個人の権利利益を害するおそれが大きい場合、原則として本人（患者さん）に対して、事態が発生した旨、内容、原因、事実関係、被害状況、講じた措置などを遅滞なく通知する必要があります。

実務上のポイント:

• 報告・通知が必要となるケースの判断: 「個人の権利利益を害するおそれが大きい場合」に該当するかどうかの判断は重要です。例えば、要配慮個人情報（病歴など）の漏洩、不正の目的による漏洩、財産的被害が生じるおそれがある漏洩、身体・財産に重大な被害が生じるおそれがある漏洩などが該当します。医療機関が取り扱う情報は機微性が高いため、漏洩した場合は「おそれが大きい」と判断される可能性が高いです。
• 報告・通知の内容: 報告・通知する内容を正確かつ誠実に準備する必要があります。事実を隠蔽したり、過小評価したりすることは避けるべきです。
• 通知の方法: 本人への通知は、漏洩した情報の内容や規模に応じて、メール、電話、書面による郵送、ウェブサイトでの公表など、適切な方法を選択します。患者さん一人ひとりに確実に情報が届くように配慮が必要です。
• 医療情報ガイドラインとの関係: 厚生労働省が定める医療情報システムの安全管理に関するガイドラインも参照し、適切な対応を行います。ガイドラインでは、責任体制の明確化、インシデント発生時の対応計画、再発防止策などが示されています。

その他の関連法規や契約上の義務

委託している外部システム（遠隔診療システム、クラウドサービスなど）が原因でインシデントが発生した場合、委託元（医療機関）と委託先との契約内容に基づき、報告義務や連携に関する定めがある場合があります。契約内容を確認し、適切に対応する必要があります。

インシデント後の対応（再発防止と信頼回復）

インシデント発生時の対応が一段落したら、以下のステップに進みます。

1. 原因の詳細な調査と分析:
   • なぜインシデントが発生したのか、根本的な原因を徹底的に調査します。技術的な脆弱性だけでなく、組織体制や人的要因も含まれます。
2. 再発防止策の検討と実施:
   • 原因分析に基づいて、具体的な再発防止策を策定し、実行します。システムの改修、セキュリティ教育の強化、アクセス権限の見直しなどが含まれます。
3. インシデント対応計画の見直し:
   • 今回の経験を基に、事前に策定していたインシデント対応計画（IRP: Incident Response Plan）を見直し、より実効性のあるものに改善します。
4. 患者さんへの説明とフォローアップ:
   • 通知を行った患者さんに対して、問い合わせ窓口の設置や丁寧な説明を通じて、不安を軽減し、信頼回復に努めます。
5. 行政等への協力:
   • 個人情報保護委員会やその他関係機関からの求めに応じて、情報提供や調査への協力を行います。

平時からの備えの重要性

セキュリティインシデント発生時の対応は、事前の準備が最も重要です。

• インシデント対応計画（IRP）の策定: インシデント発生時の連絡体制、初動手順、役割分担、報告・通知の手順などを具体的に文書化し、スタッフ間で共有・訓練しておきます。
• スタッフへの教育・訓練: セキュリティの重要性、日常的な注意点、そしてインシデント発生時の初動対応について、定期的にスタッフ教育を実施します。
• 外部専門家との連携体制構築: 弁護士、セキュリティコンサルタント、システムベンダーなど、有事の際に頼れる専門家との連携体制を構築しておきます。
• システムの定期的な見直しと脆弱性対策: 使用している遠隔診療システムや関連するIT環境のセキュリティ対策を定期的に確認し、最新の状態に保ちます。

まとめ

遠隔診療におけるセキュリティインシデントは、診療の継続性、患者さんの信頼、そして医療機関の存続に関わる重大なリスクです。万が一発生してしまった場合には、被害の拡大を最小限に抑え、法務上の義務を適切に履行し、患者さんとの信頼関係を維持するために、迅速かつ組織的な対応が求められます。

本記事で解説した初動対応、報告義務、事後対応は、平時からの備えがあってこそ円滑に実行できます。インシデント対応計画の策定、スタッフ教育、そして信頼できる外部専門家との連携体制の構築を進め、遠隔診療を安全かつ安心して提供できる体制を整えていただくことを推奨いたします。