第4回 通信環境(情報セキュリティー、ネット環境、利用端末)

 今回はネットワークや機器のお話である。オンライン診療の開始に際しては、患者とビデオ通話が可能な情報通信機器と通信環境が必要になる。ソフト面、ハード面、技術的な面を中心にまとめているが、いずれの技術も日々変わりうるため、記載は2021年4月時点での最新の情報を掲載している点に注意いただきたい。
この記事を読んでおられる会員諸氏は、購入したパソコンやスマホを自宅でインターネットに接続して、アプリやデータの引継ぎをしたことがある方が多いと思われる。そのような経験のある方には記載の内容は概ねすでに理解済みと思われ、BYODや管理上の法令の名称など、ポイントだけ見ていただいて、読み飛ばしていただいていいと思われる。逆に理解できる方がこれを読む必要があるのかという本質的な問題につきあたる。一方で、そうでない方がこれを読んで理解できるかどうかは神のみぞ知るところである。眼鏡を探すのに眼鏡が必要、インターネットに円滑に端末を接続するにはインターネットにつながった端末が必要、また遅刻せずに集合している人たちが遅刻はいけないと説教を受けるのと同じように現実はいつも冷酷である。

BYOD

 BYODという言葉をご存知であろうか。個人が所有している端末の業務利用(Bring your own device)の略である。本稿では、対面診療時に使用するみなさんが利用している電子カルテなどが、インターネット環境とは切り離されているカルテ(いわゆるオンプレミス型)を使用している環境を想定して解説する。インターネットにつながっていることが求められるオンライン診療のためのシステムは電子カルテとは独立して必要であり、この場合BYODを利用してよいとされている。もちろん独自のネットワーク端末を施設が用意することは問題ないが、前述のように、電子カルテのシステムとは別個のシステムであることが条件である。そこそこのパソコンを一台、電子カルテと別に用意し、きちんとした専門ベンダーに相談するのが、ふつうは合理的である。BYOD使用の場合のセキュリティリスクを低減のための一般的な留意事項を挙げる。

  • パスワードを端末に付箋等で貼り付けるなど、漏洩の危険がある行為は行わない
  • 個人情報が含まれる画面について、スクリーンショットの保存、カメラでの撮影を行わない
  • 患者情報を自分のPCやクラウドサービス上に記憶しない
  • 端末の自動ログオンはOFFにし、強度の高いパスワードを要求するように設定する
  • スクリーンロックを有効にし、パスワードの入力が必要となるよう設定をする
  • ファイル共有ソフトや配布元が不明なソフトはインストールしない
  • リモートデスクトップ機能等を無効にする
  • OSやセキュリティソフト、各種アプリケーションはアップデートを行い最新に保つ
  • セキュリティソフトのおすすめを励行する
  • 端末紛失やウィルス感染時の対応を備える。

 知らない人についていってはいけないとか、人を殺してはいけないとか、記者会見で性差などにひっかけた不適切な話をしないとか、そういう次元の話で、用語の細かいことはともかく大体理解できる場合には先に進んでいただきたい。
サンドイッチマンみたいに“ちょっとなにいってるのかわからない”という方のために、ネット上でちょっとわからない単語や文章がでてきた場合のやり方を記載しておく。わからないところをきちんとした単語でなくてもよいので、丸ごと選択して右クリックして検索窓にコピペして検索して、上の方の広告を飛ばして、2-3の記事をよむと、なんだかんだで大体わかる場合が多い。いわゆるググるという行為がこれである。もし、あなたがそれをせずに人に尋ねてばかりいると、GGRKSという記号を目にするかもしれない。これはネット用語でググれカス、つまり横着せずにそれくらいググって調べろ(実際簡単に調べられる)ということである。

セキュリティの管理義務

 医療情報を電子的に扱う際の安全管理を行う観点から、厚労省が発出する医療機関向けのガイドラインと、総務省、経産省が発出するサービス提供事業者向けのガイドラインが存在する。総務省の「クラウドサービス事務所が医療情報を取り扱う際の安全管理に関するガイドライン」と経済産業省の「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」が、オンライン診療指針においても引用されているが、2020年8月に両者が統合された。2021年4月時点では、厚労省の「医療情報システムの安全管理に関するガイドライン」と、経産省・総務省による「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の3省2ガイドラインを参照することになる。

外部委託契約に際し留意すべき点

 指針に記載の通り、医師は、オンライン診療に用いるシステムにより講じるべき対策が異なることを理解し、患者に対してセキュリティリスクの説明と同意を得る必要がある。
 オンライン診療専用サービス用いる場合、医療機関には適切な事業者を選択する責任がある。事業者との契約の際は、重要事項や利用規約を中心に事業者の説明内容を確認する。専用サービス提供事業者が第三者機関に認証されている場合※、指針の条件は満たされていると考えられる。汎用サービスを用いる場合、サービスごとの個別のリスクを理解し、必要なセキュリティ対策を講じる責任が診療を行う医師に発生する。セキュリティ対策に自信が持てない場合は、専用サービスを選択し、事業者との間で十分に確認しておく方が無難である。
※指針上推奨されている第三者機関認証:一般社団法人保健医療福祉情報安全管理適合性評価協会(HISPRO)、プライバシーマーク(JIS Q15001)、ISMS(JIS Q 27001 等)、ITSMS (JIS Q 20000-1 等)の認証、情報セキュリティ監査報告書の取得、クラウドセキュリティ推進協議会の CS マークや ISMS クラウドセキュリティ認証 (ISO27017)の取得

ハードウェアのスペック

 オンライン診療指針において、オンライン診療に用いるハードウェアのスペックについては明記されていない。通信に支障が出ないよう、十分なCPU、メモリを備えたものが望ましいが、2021年現在流通している端末は概ね対応すると考えてよい。専用サービスを用いる場合には、提供する業者によって端末(PCのみかタブレット、スマホも使用できるか)やOS、使用するブラウザが限定される場合もあるため、確認は必要となる。新たに購入する場合は、よくわからなかったら、“有名メーカーの中の上か上の下くらいを選ぶ”。機械にこだわりがなく、経費で導入する場合の基本である。同様にモニターのサイズや画質についても明確な規定はない。ただし、スマホなどの小型の端末でのオンライン診療については、事前にデモなどを行い、視覚情報、聴覚情報に影響がないことを事前に確認しておくことが望ましいだろう。個人的には、みなさんも同様と思うが、小さい文字や細い糸や針先はもうよくみえない。

ネットワーク

 オンライン診療に際しては、途切れない診療と十分な視覚・聴覚情報を得るためにも、安定した帯域幅環境の確保が求められる。推奨としては10Mbps以上が望ましいが、2021年現在、一般的に利用されているWi-Fi環境であれば、問題ないことがほとんどである。通信に懸念のある地域においては、あらかじめ利用するシステムの動作に問題がないかを確認しておく。オンライン診療に汎用サービス(Zoom、Microsoft Teamsなど)を用いる場合は、オンライン診療指針V2.(5)①1)を参照し、医療機関として使用するネットワーク環境におけるセキュリティ対策を行う必要がある。ネットワーク環境として、専用サービスを用いる場合は「SSL/TLS暗号設定ガイドライン」の基準を満たしていることが多く、医療機関内に限定して使用されている無線環境を利用すれば問題はないが、公衆無線LANはリスクが大きいため利用しない。小規模施設であれば、施設のネットワーク環境を整備している業者さんに“ビデオ通話が不快にならない程度の一般的な通信回線でかつルーターの推奨機能をみたしたセキュリティ運用がされている”ことを確認、あるいはそのように設定してもらうのが一番簡単である。電子カルテと別のネットワークでBYODを使用すれば、ほかのことを考える必要はあまりない。速度については時間帯によってもかわるため難しいところがあるが、Youtubeやネトフリなどの動画が、ストレスなく閲覧可能であれば十分である。こだわる方には無料の回線速度測定サイトなどもある(“スピードテスト、無料”でググってください)。なお、今の日本で、一般人が高画質動画を楽しむ以上に回線速度を追求しなければいけないのは、オンラインのシューティングゲームくらいである。これは、0.01秒の回線遅延が生死を分ける世界であるが、そもそも動画鑑賞が不快にならない程度の回線遅延が生死を分けるような症例はオンライン診療の対象としてふさわしくない。大きな施設で電子カルテやネットワークを管理する部門があるところは、この記事を読んでいる暇があればそこに相談したほうがよい。

ソフトウェア

 オンライン診療指針V1.(6).②ⅱでは「オンライン診療では、可能な限り多くの診療情報を得るために、リアルタイムの視覚及び聴覚の情報を含む情報通信手段を採用すること。」と明記されている。さらに、「文字、写真及び録画動画のやりとりは、補助的な手段として妨げないとしながらも、オンライン診療はそれらのみで完結してはならない」、とあるため、オンライン診療を行うに当たっては、ビデオ通話可能なソフトウェアまたはアプリケーションが必要になる。コマーシャルベースで利用するソフトウェアやアプリケーションについては、十分な試験が行われており、検証、秘密保持、セキュリティの面で利用目的に合った適切なシステムを用いることが重要である。 オンライン診療指針でも、専用サービス提供事業者は信頼性の高い機関によって発行されたサーバー証明書を用いて、通信の暗号化(TLS1.2)を実施することが推奨されているが、実績のある専用サービス提供事業者では採用されていると考えてよい。オンライン診療指針V2(5)では、専用サービスと汎用サービスにより分類し、医師や専用サービス提供事業者が行うべきセキュリティ対策についても言及されている。オンライン診療を行う際には、使用するそれぞれのサービスの特徴に伴う長所・短所やリスクをふまえて対策を講じる。“サンドイッチマン状態“(ちょっとなにいってるのかわからない)の場合は専門ベンダーさんに相談して、適合しているものを選んでもらうのが吉ということである。