引き継ぎ不全のIT環境を可視化し、医療情報ガイドラインに沿ったセキュリティ体制を構築
導入の背景
T社は従業員約50名、1拠点の医療機関です。電子カルテをはじめとする各種医療情報システムや、多数の医療機器がネットワークに接続された環境で日々の診療を行っています。
前任のIT担当者から管理業務を引き継いだ現担当者が直面したのは、「何がどうなっているのか分からない」という状況でした。ネットワーク構成図も、サーバーの設定情報も、ベンダーとの契約一覧も、ドキュメントがほとんど残されていませんでした。
さらに、医療機関特有の課題として、複数の医療機器メーカーが保守のためにリモート接続を行っていましたが、どのベンダーがどの経路でどの機器にアクセスしているのかが把握できていない状態でした。医療情報システムの安全管理に関するガイドライン(厚生労働省)への準拠も求められていましたが、何をどこまで対応すべきか判断するためのナレッジが社内にありませんでした。
抱えていた課題
T社がご相談時に抱えていた課題は、大きく3つありました。
IT環境の全容が把握できていない。 前任者からの引き継ぎ時にドキュメントがほぼ存在せず、サーバーの台数や役割、ネットワーク構成、利用中のシステム一覧、ライセンス契約の状況など、IT環境の基本的な情報が不明でした。トラブルが発生しても、影響範囲の特定すらままならない状態でした。
医療機器ベンダーのリモート接続が管理されていない。 医療機関では、画像診断装置や検査機器などの保守のために、メーカーがリモートで機器にアクセスするケースが日常的にあります。T社でも複数のベンダーがリモート接続を行っていましたが、接続経路、接続先、アクセス権限、接続ログなどが一元管理されておらず、セキュリティ上のリスクがありました。
医療情報ガイドラインへの準拠方法が分からない。 厚生労働省が定める「医療情報システムの安全管理に関するガイドライン」は、医療機関のIT管理における事実上の標準です。しかし、ガイドラインの内容は多岐にわたり、現担当者のみで自院の環境と照らし合わせて対応方針を策定することは困難でした。
支援内容
フェーズ1:現行システムの調査と可視化(1〜2ヶ月目)
情シス365はまず、T社のIT環境の全容を把握するための現行システム調査を実施しました。
サーバー・ネットワーク機器の棚卸し: 院内に設置されているサーバー、スイッチ、ルーター、ファイアウォール、無線アクセスポイントなどをすべて実地で確認し、機器一覧を作成しました。各機器のメーカー、型番、IPアドレス、導入時期、保守契約の有無を記録しました。
ネットワーク構成図の作成: 院内ネットワークの物理構成・論理構成を調査し、構成図として図面化しました。医療系ネットワークと事務系ネットワークの分離状況、インターネット接続経路、VLANの構成なども可視化しました。
医療情報システムの一覧化: 電子カルテ、PACS(医用画像管理システム)、検査システム、レセプトコンピュータなど、院内で稼働している医療情報システムの一覧を作成。各システムのベンダー、バージョン、サポート状況、連携関係を整理しました。
リモート接続の棚卸し: 医療機器メーカーや保守ベンダーが行っているリモート接続の全容を調査しました。どのベンダーが、どの接続手段(VPN、リモートデスクトップ、専用回線など)で、どの機器にアクセスしているかを一覧化。接続経路の安全性やアクセス権限の適切性を評価しました。
ベンダー・保守契約の一覧化: 医療機器メーカー、システムベンダー、回線事業者、保守業者など、IT関連のベンダーと契約情報を一覧として整理。契約番号、連絡先、契約期間、月額費用、SLAの有無を記録しました。
フェーズ2:ドキュメント整備とセキュリティ対策(3〜5ヶ月目)
現行調査の結果をもとに、ドキュメントの整備と医療情報ガイドラインに沿ったセキュリティ対策を実施しました。
運用ドキュメントの体系的な整備: フェーズ1で収集した情報をもとに、以下のドキュメント一式を作成しました。IT資産台帳、ネットワーク構成図、システム一覧、ベンダー連絡先一覧、リモート接続管理台帳、障害時の一次対応手順書、定期作業の運用手順書。いずれも現担当者が日常的に参照・更新できる形式で作成しました。
医療情報ガイドラインに基づくセキュリティ対策: 厚生労働省「医療情報システムの安全管理に関するガイドライン」の要求事項とT社の現状を照合し、ギャップ分析を実施。優先度の高い項目から対策を進めました。
具体的には、アクセス権限の見直し・最小権限の原則の適用、リモート接続のセキュリティ強化(接続ルールの明文化、不要な接続経路の遮断、接続ログの記録体制の構築)、パスワードポリシーの策定と適用、バックアップの運用確認と改善、そしてインシデント対応手順の策定を実施しました。
ベンダー調整: 複数の医療機器メーカーや保守ベンダーと直接やり取りを行い、リモート接続の方式の確認・改善依頼、保守契約の内容確認と見直し、システム更新やパッチ適用のスケジュール調整を実施しました。医療機関のIT管理では多数のベンダーとの調整が不可欠ですが、専門知識がないと適切な交渉が難しい領域です。情シス365がT社の代わりに技術的な窓口となることで、ベンダーとの対等なコミュニケーションが可能になりました。
中長期IT計画の策定
調査とセキュリティ対策の結果を踏まえ、今後数年間のIT計画を策定しました。
老朽化した機器のリプレイス計画、医療情報ガイドラインへの段階的な準拠ロードマップ、システム更新・移行のスケジュール、年間のIT予算計画を含む計画書を作成し、経営層に提出しました。「何から手をつけるべきか」が明確になったことで、現担当者が計画に基づいて着実に改善を進められる体制が整いました。
情シス365の関わり方
現地の実機確認やベンダーとの打ち合わせが必要な場面では訪問対応を行い、ドキュメント作成やベンダーとのメール・電話でのやり取りはリモートで対応するハイブリッド型の支援体制を取りました。
医療機関のIT環境は、一般企業とは異なる規制要件や業界慣行があります。情シス365は医療情報ガイドラインの知見を活かし、技術面だけでなく規制対応面でも現担当者をサポートしました。
導入後の成果
現在のシステム構成と課題が明確になった。 ドキュメントがなく「ブラックボックス」だったIT環境の全容が、体系的なドキュメントとして可視化されました。サーバーの台数と役割、ネットワーク構成、医療情報システムの連携関係、ベンダーのリモート接続経路など、すべてが一覧できる状態になりました。トラブル発生時にも、影響範囲の特定と対応判断が迅速に行えるようになりました。
IT計画を策定でき、今後数年の作業が明確になった。 中長期のIT計画が策定されたことで、「何をいつまでにやるべきか」が明確になりました。機器のリプレイス時期、ガイドライン対応の優先順位、年間予算の見通しが立ったことで、経営層への説明もスムーズになり、必要な投資の承認を得やすくなりました。場当たり的な対応から、計画的なIT管理への転換が実現しました。
プロジェクト概要
| 項目 | 内容 |
|---|---|
| 業種 | 医療機関 |
| 従業員規模 | 〜50名 |
| 拠点数 | 1拠点 |
| 支援期間 | 現行調査 2ヶ月 + ドキュメント整備・セキュリティ対策 3ヶ月 |
| 提供サービス | Support365 / Security365 + Project365 |
| 主な施策 | 現行システム調査・IT資産棚卸し、ネットワーク構成図作成、リモート接続管理の可視化・改善、医療情報ガイドラインに基づくセキュリティ対策、ベンダー調整、運用ドキュメント一式の整備、中長期IT計画の策定 |