「インテックス大阪」（大阪市住之江区）で3月に開催された「メディカルジャパン大阪」（RX Japan主催）では、医療をはじめ多くの講演が行われました。ＣＢｎｅｗｓでは、病院経営のヒントになる4つの講演を連載で紹介します。最終回は、医療機関が今すべき情報セキュリティー対策を現場目線で語った大津赤十字病院（滋賀県大津市）医療情報課長の橋本智広氏。

　大津赤十字病院では、高額投資に頼らず、現場のボトムアップと組織の理解を軸に、技術的対策・IT-BCPの実践的整備・地域連携という三つの柱で包括的な体制を構築してきた。

　まず2024年12月、院長直轄のDX推進室を立ち上げた。各部門の係長クラスを選抜した17人によるボトムアップ型組織で、月1回の定例会議を軸に現場の知恵を集約している。国策として取り組む「医療DX」と病院独自の課題に応える「病院DX」を区別し、各施策をマトリックスでプロットして優先順位を可視化する。

　企画・設計・運用のすべての工程においてセキュリティーを組み込む「セキュリティ・バイ・デザイン」の思想を基本とし、ベンダーに対して調達段階から安全設計を求めている。院内で発行する「地域連携NEWS」で、院長も「しっかりとセキュリティー対策に取り組む」と宣言し、経営トップのコミットメントが現場の取り組みを支える風土づくりに寄与している。

　橋本氏が講演中に最も力を込めて訴えたのが、「IT資産管理台帳の整備」だ。「端末、PCサーバー、ネットワーク装置、医療機器、プリンター、これら全てを把握することが重要」と断言した。併せて、全ての取引ベンダーに対してシステムが保有・発生する個人情報の内容を照会し、マトリックス形式で一覧化する作業を進めている。ランサムウエア被害時にシステムごとの情報保有状況を即答できる体制を敷いているという。

　訓練については、院内50カ所のプリンターに抜き打ちでランサムウエアを模した帳票を出力し、1時間以内の異常報告を確認する手法を用いている。直近の訓練では反応があったのは32カ所（68.8%）にとどまった。背景には担当部署の回線が少ないために電話が集中するとつながらない事態があったことが判明し、6回線に増やすという対応を採ったという。橋本氏は「訓練は組織の盲点を発見するための機会」と訴えた。

　地域ぐるみの対策にも乗り出している。2024年5月から「滋賀県病院医療情報システム担当者の集い」を年3回開催しており、参加施設は回を重ねるごとに増加している。直近の3月開催では50名超が参加し、AIが生成するシナリオを用いたサイバー対応シミュレーターによる実践的な訓練が行われた。

　橋本氏は、「セキュリティーの世界では『上から目線』になった時点で、コミュニケーションは途絶えてしまう。互いの脆弱性を認め合い補い合う共助の精神が、地域全体のレジリエンスを高める原動力になる」と締めくくった。