導入事例
  1. >
  2. >
  • ブックマーク
  • プリント
  • InterSafe SecureDevice
  • セキュリティ
  • 導入規模 100〜999人〜

潤和会記念病院

InterSafe SecureDeviceを導入してから、ウイルス検出件数がゼロになりました。」

潤和リハビリテーション振興財団 潤和会記念病院
財団本部 経営企画部 IT推進室 主任 上級医療情報技師 服部正樹氏

潤和会記念病院のITをシステムと経営の双方の視点から支えるIT推進室 服部氏に、InterSafe SecureDevice Professional(以下、InterSafe SecureDevice)の導入の経緯と効果について詳しくお聞きしました。

服部正樹氏
病院のセキュリティ対策の特殊性 

(IT推進室について)
潤和会記念病院に導入するシステムの企画・提案をメインに行っています。病院システムの導入やリプレースを経営的な視点をもって主導的に進めていくのが、IT推進室の仕事です。 当病院は、2003年に宮崎県内でも早期から電子カルテを導入するなど、情報システムに力を入れており、IT推進室では、医療業界とIT業界を幅広く横断する視点から、一歩先を見すえたシステムを企画・構築していく必要があります。

病院のセキュリティ対策では、どのような点に気をつかいますか。

病院でセキュリティを高めるにあたっては、ウイルス・情報漏洩対策とUSBメモリの利用のバランスをとることに気をつかっています。

病院は患者さんの生命・健康を預かっており、究極的にはセキュリティよりも診療が優先されます。職員、特に医師は、診療の関係で、いつでも、どこでも患者さんのカルテを見られる状態にしておきたいと考えています。また、学会での発表や論文作成にカルテが必要なこともあり、USBメモリでデータの持ち出しを認めないわけにはいきません。

他方、院内ネットワークがウイルスに感染して、診療が停止しまうことは絶対に避けなければなりません。またカルテ情報は個人情報の最たるもので、情報漏洩も防止する必要があります。

USBメモリのセキュリティ対策として、潤和会記念病院では、InterSafe SecureDeviceを2010年9月に120ライセンス導入し、翌10月から運用を始めました。現在、医師、看護師含め、全ての部署で使用されています。

ページトップへ戻る
職員の利用状況にあわせて 利用モードを変更 

※1 InterSafe SecureDeviceのモードについて(クリックで拡大表示)

InterSafe SecureDeviceの利用モード

InterSafe SecureDeviceをどのようにお使いですか。

職員の個別の利用状況にあわせて、モードを変えて使っています。例えば、研究や学会発表のために院内外で統計資料を活用する医師はパスワードモード、自宅で研究発表資料を作って院内に持ち込む看護師は情報漏洩対策モード、院外の会議用に資料を持ち出す事務員はウイルス対策モード(※1)にするなどしています。

職員によってモードが変わるということですが、困惑や反対などはありませんでしたか。

今までの利用に制限がかかるので、反対意見がでることが予想できました。職員は院内外で様々な形態での業務を行っており、その中でUSBメモリを最大限活用してきました。これに対して、システム管理者側が決めた制限をいきなり設けてもうまくいかないのは明白です。

そこで、段階を踏んで導入することにし、その結果、スムーズに進めることができました。

ページトップへ戻る
スムーズに導入するために工夫したこと 

ウイルス検出の危険性を訴える方法

パトランプ

パトランプをIT推進室の入口に設置し、ウイルスの危険性の理解を深めた。

IT推進室ではウイルス検出の状況を把握して危険性を認識していますが、なかなか他部門にはそれが伝わらず、対策の重要性を伝えることが困難でした。
検出時の迅速な対応が目的だったのですが、ウイルス検出と連動して光るランプをIT推進室の部屋の真ん中に設置したところ、IT推進室を訪れる多くの職員が興味を持ちました。事務部門ではありますが、同じフロアの職員はこのランプが頻繁に光るのを見て、実際にウイルスが身近なものであることを感じてもらうことができました。

点灯するほとんどの場合がUSBメモリからの検出だったので、USBメモリの危険性について多くの職員に認識・理解してもらうことができました。

段階を踏んで導入するとは?

3段階を経て導入しました。 まず第1段階では、職員のセキュリティ意識を高めるようにしました。

それまでのウイルス検出の統計をとったところ、約9割がUSBメモリが原因で、1か月に2〜3回の頻度でUSBメモリからウイルスが検出されるといった状況でした。 ただ、各部署のUSBメモリの利用頻度と、ウイルス検出頻度は比例していませんでした。毎日使っていても全く検出されていない部署と、利用頻度が低いのに何度も検出されている部署に分かれていました。検出されたUSBメモリの所有者にヒアリングしたところ、セキュリティに対する意識が院内でバラバラで、これがウイルス検出頻度に影響していることが分かりました。

Winnyなどによる情報漏洩やウイルス感染が起きた場合の被害について、IT推進室はよく理解していますが、多くの職員は、患者さんの治療や自分たちの活動に、セキュリティがどのような影響を与えるのか、どう結びつくのかピンときていないようでした。

そのままでは、USBメモリの使用を禁止しても別の手段でデータを持ち出す職員が現れ、セキュリティ上の弱点がさらに大きくなる可能性があります。そこで、まずは職員のセキュリティ意識を高めることが必要だと考え、全職員を対象にセキュリティ研修を行いました。

セキュリティ研修はどのような内容でしたか。

研修では、安易にUSBメモリを使うことで増えるリスク、すなわち、(1)USBメモリ紛失時の個人情報漏洩の問題、(2)USBメモリを介した、病院ネットワークへのウイルス感染問題などについて、職員全員が参加できるように複数回、説明を行いました。情報漏洩やウイルス感染が発生してしまった場合には、患者さんへ被害が及ぶのはもちろん、病院の社会的信用が失われ、その後の対応と再発防止のための極端な業務制限によって、職員満足度が著しく下がってしまう可能性があることを、実際の他病院で起こった事例を示しながら、その怖さを強く訴えました。

また、USBメモリを使わないようにする方法、例えば、院内ではファイルサーバを利用してどのPCからでもファイルにアクセスできることや、ファイルを暗号化してメールに添付する方法なども説明しました。それでもUSBメモリを使う必要がある場合は、紛失を防ぐために、USBメモリにはストラップにつけて、しっかり携帯していることを認識できるようにするなどの工夫も伝えました。

これでかなりセキュリティ意識は高まったと思います。

「医療従事者の意見を尊重しながら、セキュリティを高める工夫をしました。」服部氏

医療従事者の意見を尊重しながら、セキュリティを高める工夫をしました。

ページトップへ戻る
USBセキュリティ対策製品を導入するための要件 

USBセキュリティ対策の製品導入にあたって、どのような要件をたてましたか。

以下の8つの要件をたてました。

  1. 導入・運用が楽であること
    職員のITスキルにはばらつきがあるので、業務の負担にならない簡単に使えるものを選びたいと考えていました。また、病院全体で速やかに運用開始できるように、導入が容易であることも条件としました。
  2. USBメモリの内容を他人が見ることができないこと
    万が一、紛失したときでも、他人がUSBメモリの内容を見ることができないものを選ぶつもりでした。そのために、内容を暗号化したり、利用時にパスワードを要求するものがよいと考えていました。
  3. ログの集中管理ができること
    誰がどのようなファイルを持ち出しているのかなどを集中的に管理するために、ログが自動的にサーバに記録される機能を欲しいと思っていました。
  4. セキュリティの段階が複数あること
    職員と言っても、学会等で臨床研究結果を精力的に発表する医師や看護師等から、ほとんど院内だけで業務を行う事務職員まで様々な職員がいます。それぞれの利用状況によって、制限の内容を変えられるとよいと考えていました。
  5. ピンポイントでセキュリティ対策ができること
    セキュリティ対策は実際に当院が必要とすることを、その時の状況に応じて柔軟に行いたいため、その時点で必要な機能だけを有し、不要な機能は付いていないことを条件としました。不要な機能は、相性問題や機能のバッティング問題を発生させる危険性があるからです。
  6. 各パソコンにインストールしなくてもよいものであること
    院内にはパソコンが700台近く存在し、その全てにアプリケーションをインストールするとなるとそれだけで大変な作業となります。また、古いパソコンを長年使っている部署もあり、動作速度低下が起こらないように、各クライアントパソコンにソフトをインストールするのは避けたいと考えていました。
  7. 低コストで導入できること
    セキュリティ対策は重要ですが、それに膨大なコストをかけてしまっては本末転倒です。決して増収となる施策ではないため、できるだけ低コストで導入したいと考えていました。
  8. 既存のUSBメモリが利用できること
    低コストで導入できることと関係しますが、新たにUSBメモリを購入することなく、現在使っているUSBメモリをそのまま利用できる製品が望ましいと考えました。 USBメモリの容量はどんどん大きく、価格はどんどん安くなりますので、USBメモリを買い替えても継続して使用できることが希望でした。

この条件で複数の製品をカタログで比較検討した結果、InterSafe SecureDeviceが最も要件を満たしていたので、導入することにしました。

カタログでの比較ということですが、試用はしなくても大丈夫だったのでしょうか。

カタログで比較して、InterSafe SecureDeviceは必要な機能が揃っており、不要な機能が入っていないことが分かりました。まさに「ドンピシャ」という表現がピッタリの製品でした。

念のため試用版をダウンロードして使いましたが、機能的にも十分で、導入・運用も簡単そうでした。

導入にあたっての苦労話があれば教えて下さい。

InterSafe SecureDeviceは自分たちで導入しましたが、導入にあたって特に苦労したことはなく、スムーズに進みました。おかげで、予定通り10月から運用を開始することができました。

また、先程お話ししたように、USBメモリ対策について職員の理解を得られるように工夫しました。

「InterSafe SecureDeviceは、必要な機能を備え、それでいて不要な機能がないところが評価できます。」服部氏

InterSafe SecureDeviceは、必要な機能を備え、それでいて不要な機能がないところが評価できます。

ページトップへ戻る
InterSafe SecureDeviceの導入効果 〜ウイルス検出件数がゼロに 

導入効果について教えて下さい。

それまで1−2週間に1回はあったウイルス検知がゼロになりました。誰が、いつ、どのデータを持ち出したかといった、持ち出し状況を具体的に把握できるようになりました。また、事故を防ぐとともに、万が一の場合の病院・職員の負担を軽減することができました。

副次的な効果ですが、USBメモリの利用時にパスワードが必要となったことにより、安易なUSBメモリの利用が危険なものであるという意識が職員全体に浸透しました。意識の高い部署では、セキュリティ対策を行っていないUSBメモリの使用を自主的に固く禁止し、データの院外への持ち出しを減らして、USBメモリを使わなくて済む運用方法やルールが自主的に作られました。IT推進室からの押しつけにならないように、運用方法は各部署の自主性に任せたのが功を奏したようです。

InterSafe SecureDeviceへの評価について教えて下さい。

InterSafe SecureDeviceはポイントを絞ったソフトで、足りないところをピンポイントで補えることができました。お世辞ぬきで、本当に助かりました。

セキュリティの段階分けがあるので、利用状況にあったセキュリティの設定ができます。特に、様々な職種、部署が混在して、USBメモリの利用目的もそれぞれ異なる病院という組織においては、本製品はピッタリだと思います。

ページトップへ戻る
今後の取り組み予定とALSIへの期待 

今後、セキュリティ対策に関して、どのような取り組みをしていく予定ですか。

不要なデータを持ち出していないか、データ持ち出しの際に個人情報を削除しているかなど、細かなチェックシステムを作っていく予定です。

あとは、全職員のセキュリティ意識を、さらに高めて行きたいと考えています。その一環として、セキュリティ対策のための院内Webサイトを立ち上げました。今後はそれを見れば、誰でもウイルス対策や情報漏洩対策ができるようなコンテンツを充実させていくつもりです。

今後のALSIに対する期待を教えて下さい。

セキュリティは時代の流れによって変わっていくので、自分たちだけだとついていくのが大変ですが、バージョンアップできちんと対応してもらえるので、助かっています。

ALSIには、今後も、ピンポイントでセキュリティを高めるための製品を提供し続けてもらえることを期待しています。今後ともよろしくお願いいたします。

ページトップへ戻る

潤和リハビリテーション振興財団 潤和会記念病院http://www.junwakai.com/
潤和会記念病院
  • ●所在地
    〒880-2112 宮崎県宮崎市大字小松1119番地
  • 潤和会記念病院は宮崎市の中核病院としての役割を担っています。長年継続してきたリハビリテーション活動を基盤にして、生活習慣病予防管理、神経疾患の診断治療、消化器疾患の診断治療、リウマチ、関節疾患を中心とした整形外科的疾患の診断治療、痛みしびれに対するペインクリニックを柱とし、専門的かつ高度な医療をすすめています。病床数446床、常勤医40名を有しています。
運用例 セキュアポーターを活用した安全な情報共有

セキュアポーターファイル(SPファイル)とは、特殊暗号化されたファイルで、復号化するには権限のあるセキュアデバイスの保存領域に格納する必要があります。SPファイル自体には、パスワード等の設定はありません。不正に取得された場合でも、権限のあるセキュアデバイス保有者以外は、復号化して閲覧することができない為安全です。

セキュアポーターを活用した安全な情報共有
関連製品はこちら
  • セキュリティUSBメモリ作成ソフト InterSafe SecureDevice

セキュリティソリューション

製造流通ソリューション

ページトップへ戻る