3月に大阪市で開催された「メディカル ジャパン 大阪」（主催：RX Japan）における、病院経営のヒントになる4つの講演をＣＢnewsでは連載。2回目は「情報セキュリティ人材の育成と適正な配置に向けて」をテーマに講演した、大阪大学大学院教授で大阪大学医学部附属病院 医療情報部部長の武田理宏氏を紹介する。

　ランサムウエア（身代金要求型ウイルス）をはじめとしたサイバー攻撃に遭う医療機関が後を絶たない。その攻撃から自院を守る情報セキュリティー人材の育成が急務だ。武田氏は研究代表者としてかかわった厚生労働省の「安全な地域医療の継続性確保に資する医療機関における情報セキュリティ人材の育成と配置に関する研究事業」を紹介。情報セキュリティー人材が持つべきITスキルや医療機関の特性に合わせて配置すべき情報セキュリティー人材像を明確にした。

　情報セキュリティー対策を担える人材確保は、医療機関でも急務だが、高度な情報技術と医療知識を併せ持つ職員を、全ての医療機関で配置することは容易でない。武田氏は、医療機関の特性や規模に応じ、医療機関を「指導的な医療機関」、「自施設を守ることができる医療機関」、「他施設の助けを借りる医療機関」の3つのグループに分類。「指導的な医療機関」が中心に地域全体の情報セキュリティー対策を向上する仕組みを提案した。

　各施設の情報セキュリティーを担う人材も3つのグループに分類。最も高い技術を持つグループA人材は、医療情報システムの特性の十分な理解と、高い情報セキュリティー技術を持ち、経営層として自施設の情報セキュリティー対策を推進すると共に、他施設の指導や人材育成を行うことができる人物像を想定し、「指導的な医療機関」に配置することを提案した。グループA人材は情報処理安全確保支援士試験と上級医療情報技師能力検定試験相当のITスキル、資格を持つべきと整理した。

　「指導的な医療機関」は「指導的な医療機関」同士の相互チェックや「自施設を守ることができる医療機関」へのセキュリティーチェックの外部評価を実施することで、各施設の情報セキュリティー対策の向上を実現することを提案した。さらに、「指導的な医療機関」に配置するグループA人材は実地研修の受け入れ、多施設からのコンサルテーション、情報セキュリティー講習会やサイバー攻撃合同訓練の開催を通じ、地域の情報セキュリティー人材育成を行うことを提案した。

　医療領域で活躍する情報セキュリティー人材は豊富でない。武田氏は各グループの人材が目指すべき資格・試験を明確にしながら、現実解として、医療機関で情報セキュリティーを担当する人材がまず受けるべき教育カリキュラムをまとめた。まずは教育で知識を担保した後に、資格を取っていくという10年計画を踏んでいくように提言。「特に大病院には将来的にCISO（Chief Information Security Officer）たるA人材を育てるキャリアプランを持ってほしい」と期待を寄せた。