ネットワークインフラとITサービスを手掛ける「アライドテレシス」（東京都品川区）が提供する、医療現場で変革の旗手を担うキーパーソンと考える特別企画「変革する医療現場を支えるDXのチカラ～座談会シリーズ～」。vol.6は、前回に引き続き医療現場の事業継続計画（BCP）をテーマに、日本医科大学千葉北総病院の医療情報室医療情報システム責任者の新橋尚慶（にっぱし　なおちか）氏と、非常時のITシステムの運用維持に焦点を当てた「IT－BCP」について考えました。

■緊急時役立つOODAループ

木村氏　IT－BCPについてどのように捉えられているか、またそのお考えをお聞かせください。

新橋氏　IT－BCPは「サステイナブルイノベーション」として捉えています。単に新しい技術を導入するだけでなく、今日の課題を解決しつつ未来にわたって持続的に発展し続ける力のことです。医療現場では患者の人生そのものである医療情報を守る使命があります。変化の激しいサイバー脅威に対して一時的な対策で終わらせず、常に進化し続け、対応できる体制を築くことが重要です。アライドテレシスとしてはIT－BCPについて、どのような考えを持っていますか。

赤松氏　まずは「止めない、落とさない」というのがネットワークの本質ですので、これを前提に進めます。地震などで配線が切れてしまうような事象も想定した設計が必要です。当社としましては病院関係者との対話を通じて、どの機能を優先させるか、もしインシデントがあれば患者にどのような影響があるかを考慮しながら設計して提案します。そのほかにもデータのバックアップや復旧の際の仕組み、医療機器への影響などネットワーク以外の部分も重要です。

新橋氏　サイバー攻撃は「いつ起きる」という話ではなく、「もう起きている」という認識が必須です。医療トレーサビリティ推進協議会のアンケート調査で、医療機関の54%がサイバー攻撃の対応を「これから検討する」と回答しており、多くの医療機関で対策が進んでいません。ランサムウエア攻撃により、診療停止に追い込まれるケースが相次いでいます。今の状況では侵入されることを前提とした対策、事業継続のための準備が大事です。

木村氏　ユーザーと話してよく聞くのが、経営層の理解が進まないということです。経営層を納得させて、かつ効果的なIT－BCPを策定するために必要なものは何でしょうか。

新橋氏　最上級の脅威であるサイバー攻撃においては、組織内での形式的な調整や上司の顔色をうかがってはいられません。実際にサイバー攻撃を受け、ランサムウエアの暗号画面が目の前に現れる方が、はるかに恐ろしい。ですから、攻撃の実態や受けた際の影響を経営層に伝えてほしい。担当者は意思決定に必要な情報を提示し、経営判断を促すことです。当院では毎月、サイバーセキュリティー月次報告を行っています。対策効果や技術的価値を経営層に伝えることで、意思決定速度が飛躍的に向上しています。

　また、トップ、ミドル、ローワーの意思決定サイクルをうまく回す体制を築くことが大切です。ボスは院長ただ1人、部署長はリーダーですから、リーダーがIT－BCPを部下に丸投げをするのではなく共に考え動き経営層への説明責任も果たす。院長が信頼して権限を与えることが成功の絶対条件です。そして、我々はその信頼に責任をもって応えていくのです。

赤松氏　千葉北総病院のIT－BCPやセキュリティー対策は独特な哲学に基づいて作られているそうですね。

新橋氏　私たちが取り組んでいるOODA（ウーダ）ループ戦略は、即応性を高めるための具体的なフレームワークです。元々は、1991年の湾岸戦争で不確実な状況下での意思決定と行動を迅速化し、勝利をもたらしたとされる思考法です。これをIT－BCPに組み込みます。

　PDCAサイクルが計画に基づいて「改善」を重ねるのに対し、OODAループは刻々と変化する状況に素早く「適応」し、優位性を確立することに特化しています。

　各ステップは、
（1）見る（Observe）: 質の高い情報収集
（2）分かる（Orient）: 収集した情報から、何が起きているのか、その本質は何かという「仮説を立て、状況を理解する」
（3）決める（Decide）: 状況を理解したら、最善の行動を「決定」
（4）動く（Act）: 決定した行動（緊急プロトコル発動、代替手段切替など）を「即座に実行」－と、迷わず行動に移すことが何よりも求められます。

　さらに説明すると
（1）「見る」は「あれ、おかしいぞ」という感知力
（2）「分かる」は「全体像をつかむ」意味付け力
（3）「決める」は「今、動くしかない」という決断力
（4）「動く」は「やるなら今しかない」という行動力－です。
最後に見直しとして「Loop」がありますが、これは「やり直して、乗り越える」改善力になります。

　このサイクルを繰り返すことで、より迅速に最適な解決策を継続的に改善します。サイバー攻撃は刻々と状況が変化します。素早く実行して優位性を確立するこのOODAループは対策として重要です。

木村氏　緊急時を乗り越えるための基本的な考えということですね。

新橋氏　そうです。OODAループ戦略に基づき、当院では訓練を行っています。さらに「コソ練ツール」といって、職員が24時間、場所を選ばず1人でもIT－BCP訓練ができるシステムを自作で開発しています。外部ベンダーに依存せず、コストを抑えながら当院の実情に合わせたカスタマイズが可能です。このように、組織全体のセキュリティーリテラシー向上を常に図っています。

　経営層と話す機会がある場合、アライドテレシスではどのようにサイバーセキュリティーやIT－BCPの重要性を説明しますか。

岡本氏　近年、営業自体が提案型からコンサルティング型に変わってきています。経営層との話し合いでは、その病院の未来像を描けるような提案をしています。予算がない場合でも、その中で最大限何ができるかを提案することが重要です。以前は標準的なパッケージ商材を当てはめて提案していましたが、今は病院の状況に合わせて他の病院での運用の工夫を共有しながら、ご要望に沿う商材を提案することを重視しています。

■ユーザー会による情報交換
新橋氏　アライドテレシスでは各病院と交流や情報交換ができる場としてユーザー会がありますね。

木村氏　ユーザー会は発足して15周年になります。もともとは病院がそれぞれ別のネットワークを構築している状況で、共通化やコスト削減を進めるために始まりました。特にここ5年間は、サイバー攻撃による医療機関の被害が増えており、対策や関連機関との連携についての情報交換が中心になっています。

新橋氏　病院の立場からすると、周りの病院のセキュリティー事情というのは分からず、「自分たちがやっていることは本当に正しいのか」と自問自答することがよくあります。さまざまな病院の方に質問ができる場というのはとても有意義です。

岡本氏　ユーザー会は横のつながりを広げ、同じ悩みを持つ人たちが集まる場所として機能しています。病院の規模に関係なく、困っている部分は共通したものが多く、情報共有や問題解決の場となっています。現在は約500の会員が在籍し、200－300床規模の病院が中心です。

新橋氏　私は病院のサイバーセキュリティーについて、自院完結型には限界があると考えています。システム担当者だけが行う「独立型」、他職種がセキュリティーも見る「兼任型」、トップダウンな「統合型」とありますが、いずれにせよ費用や人材不足、業務多忙などの問題が起こります。

　そこで当院では外部連携を重視しています。県警や自治体との情報交換といった官民連携も行っていますし、地域医療ネットワーク全体の強化にも注力しています。ユーザー会もそのような外部連携の1つとして重要な役割を果たしていますね。
外部連携こそが、次世代IT－BCPを支える基盤です。

木村氏　セキュリティー事情というのは日々変わるものであり、ベンダーも対応していかねばなりません。ユーザー会を通じた病院と病院、そして病院と当社との連携とをさらに深め、今後のご提案やご支援に生かしていきたいと思います。




▽アライドテレシスの医療機関向けソリューションについてはこちら

▽アライドテレシスのIT-BCP対策ソリューションについてはこちら