医療法人のIT運用、誰がやる?院内SE不在でも安全なIT環境を維持する方法
医療法人のIT環境は、一般企業とは異なる特殊な要件があります。電子カルテシステムとの連携、3省2ガイドラインへの準拠、患者の個人情報(要配慮個人情報)の厳格な管理——。これらの要件を満たしながら日常のIT運用を回すには、医療ITの知識を持った専門人材が必要です。
しかし現実には、多くの医療法人でIT専任者がいません。事務長や総務スタッフがITを兼任し、電子カルテベンダーに頼りきりという状態が一般的です。
この記事では、IT専任者がいない医療法人が直面するIT運用の課題と、情シス代行を活用した解決策を解説します。
医療法人のIT運用が難しい理由
電子カルテを中心としたネットワーク構成
医療法人のIT環境は、電子カルテシステムを中核としたネットワーク構成になっています。院内LAN(電子カルテ用)とインターネット接続用のネットワークを分離する必要があり、このネットワーク設計を理解した上でIT運用を行わなければなりません。
電子カルテの操作サポートはベンダーの範疇ですが、そのベンダーが面倒を見ないネットワーク、PC、プリンター、Wi-Fiといった「周辺のIT環境」は誰も管理していないというケースが非常に多いのが実態です。
3省2ガイドラインへの対応
医療情報を扱うシステムには、厚生労働省・経済産業省・総務省が定める「医療情報システムの安全管理に関するガイドライン」(3省2ガイドライン)への準拠が求められます。アクセス制御、ログ管理、バックアップ、暗号化、外部委託先管理など多岐にわたる要件があり、これらを満たすIT環境を構築・維持するには専門知識が必要です。
ガイドラインの基礎知識は3省2ガイドラインとは?で、具体的なチェックリストは3省2ガイドライン対応チェックリストで解説しています。
患者情報は「要配慮個人情報」
医療法人が扱う患者情報は、個人情報保護法上の「要配慮個人情報」に該当し、一般的な個人情報よりも厳格な管理が求められます。情報漏洩が発生した場合、法的責任だけでなく、患者からの信頼を失い、医療機関としての評判に致命的なダメージを受けます。
診療時間中のITトラブルは許されない
一般企業であれば、IT障害が発生しても業務を一時停止して対処できます。しかし医療法人では、診療時間中にネットワークが止まれば患者の診察に直接影響します。電子カルテにアクセスできない、プリンターで処方箋が印刷できないといったトラブルは、患者の安全にも関わる問題です。
医療法人向けIT運用代行で依頼できること
ヘルプデスク・日常IT運用
医師・看護師・事務スタッフからのIT問い合わせ対応を代行します。PC不具合、プリンター障害、Wi-Fi接続トラブル、アカウント管理(入退職対応)、PCキッティングが主な対応範囲です。電子カルテ本体の操作サポートは対象外ですが、電子カルテベンダーとの技術調整(ネットワーク接続に関する問い合わせなど)は代行します。
ネットワーク管理
院内LANとインターネット接続の分離設計の維持管理、Wi-Fi環境の最適化、VPN接続の管理を行います。ネットワーク障害が発生した場合の一次切り分けと復旧対応も含みます。
セキュリティ運用
3省2ガイドラインの要件に沿ったセキュリティ運用を実施します。MFA(多要素認証)の管理、パスワードポリシーの運用、Windows更新プログラムの適用管理、エンドポイントセキュリティの監視、サインインログの確認と不審アクセスの検知。
3省2ガイドライン対応支援
ガイドラインの要求事項に基づく現状のギャップ分析、対策の優先順位付け、実装支援を行います。対応状況の文書化も含みます。
IT資産管理・ライセンス管理
PC、タブレット、プリンター、ネットワーク機器のIT資産台帳管理。Microsoft 365やセキュリティソフトのライセンス管理。更新時期の管理とベンダーへの手配も含みます。
導入パターン
パターン1: 無床クリニック(職員15名)
医師2名、看護師5名、事務スタッフ8名のクリニック。IT担当者はおらず、PCトラブルが起きるたびに近所のPC修理店に依頼。電子カルテのネットワークとインターネット用Wi-Fiの管理が混在している。
Support365(月額18万円〜)でヘルプデスクとネットワーク管理を委託。Wi-Fi環境の整理とセキュリティ基本設定(MFA、パスワードポリシー)を初期構築。
パターン2: 医療法人(病院1+クリニック2、職員120名)
事務長がITを兼任。3省2ガイドラインへの対応を求められているが、何から始めればよいかわからない。各施設のIT環境がバラバラで、統一されたセキュリティポリシーもない。
Security365(月額45万円〜)で3省2ガイドライン対応を推進しつつ、全施設のセキュリティ運用を統一。Support365でヘルプデスクを代行し、事務長のIT業務負荷を軽減。
パターン3: 分院展開中の医療法人
新規分院の開設に伴い、ネットワーク構築、端末キッティング、アカウント作成、セキュリティ設定をまとめて対応する必要がある。
Start365で分院のIT環境を構築。開設後はSupport365で継続的なIT運用を代行。既存本院と同一のセキュリティポリシーを適用。
電子カルテベンダーとの役割分担
医療法人のIT運用では、電子カルテベンダーと情シス代行サービスの役割分担を明確にすることが重要です。
電子カルテベンダーが担当するのは、電子カルテソフトの操作サポート、ソフトウェアのアップデート、データベース管理、カルテ固有の障害対応です。
情シス代行(情シス365)が担当するのは、PC・プリンター・ネットワークなどのITインフラ管理、セキュリティ運用(MFA、パッチ管理、ログ監視)、アカウント管理、3省2ガイドライン対応、IT資産管理です。
この役割分担により、「電子カルテベンダーに聞いても『ネットワークの問題ではないか』と言われ、ネットワーク業者に聞いても『電子カルテ側の問題では』と言われる」というたらい回しを防ぎます。情シス365が窓口となってベンダー間の技術調整を行います。
まとめ
医療法人のIT運用は、電子カルテとの連携、3省2ガイドライン対応、患者情報の厳格な管理という特殊な要件があり、IT専任者なしで適切に運用するのは困難です。
情シス代行を活用すれば、ヘルプデスクからセキュリティ運用、ガイドライン対応まで、医療ITの要件を理解した専門チームに任せることができます。電子カルテベンダーとの役割分担も明確にし、たらい回しのないIT運用体制を構築します。
情シス365では、医療法人向けの情シス代行サービスを月額18万円〜で提供しています。