2023年3月26日日曜日

オンライン資格確認の2つの致命的欠点

ブログ総もくじ   伏見啓明整形外科公式サイト  Coロナ関連記事目次  

 オンライン資格確認の致命的欠点

 マイナンバーカードを使ったオンライン資格確認の導入が4月から義務化されたので、その準備に2月、3月は追われた。
 ずいぶんと一方的に政府にやられてしまったものだ。

 この導入に向けて準備をしたが、そこで分かったその致命的欠点を二つあげよう。


●致命的欠点 その1 
 一つは準備はしたが、これによって利益を得るのは誰か、ということ。利益を得るものが我々の面倒をまめまめしく見てくれることになると思うが、果たしてそれは誰なのか


 一番儲けるのは、NTT中国である。
 彼らのところに黙っていても金が転がり込んでくるシステムになっている。
 準備金として政府から我々に33万円(クリニックは33万円。病院はもっと多い)が出たが、これは全て準備金としてNTT中国に取られてしまう。
 そして月々の保守点検料として、5300円が彼らに入るのである。

 NTT中国が我々の面倒をまめまめしく見てくれるのだろうか。

 最初、この話はベンダーに相談せよ、ということであった。ベンダーとは主に自分のところで使っている、レセコンなり電子カルテの会社である。ここに相談したら良い、と言われた。

 故に私も最初に自分のレセコンの会社に電話した。
 いろいろとお答えはしてくれるが、どうもつれないのである。
 実は結局のところ彼らにはほとんど金は入らないのである。
 オンライン資格をして彼らの仕事とは、オンライン資格の端末機械と彼らのレセコン、あるいは電子カルテをつなぐことである。

 オンライン資格を導入して我々のメリットなど何もないが、唯一あるとしたら、マイナンバーカードをかざすと、カルテの表紙、つまり、氏名、住所、生年月日、保険証の番号などが出るのである。
 これは従来は保険証を見て事務職員がレセコンなり電子カルテに入力していたのである。それが一瞬で自動的にできるのである。
 その連携をベンダーがするのである。これは4万円である。

 これだけがベンダーに入る金である。だれも動かないだろう。


 今後予想されるはオンライン資格のバージョンアップ、また、レセコン、電子カルテのバージョンアップでこの連携が上手くいかなくなると、そのたびにベンダーが駆り出されることになる。彼らの仕事が増えるだけ。故に、彼らはこのオンライン資格確認に消極的でつれないのである。
 ほどなくして、トラブルが起こっても、それはNTT中国の問題だからそちらに言ってくれ、となり知らぬ存ぜぬ、となるに違いない。


 NTT中国は多分完全に独占で黙っていても金が入るし、全国の医療機関に十分な対応も不可能だから、あまり力にはなってくれないだろう。
 これが少なくてもベンダー主導にしてくれたら、もっとまめまめしく面倒を見てくれるので、立ち行かなくなることもないと思うが、そうではないので早晩多くの医療機関で立ち行かなくなるであろう。そのような構造である。

 この導入に際してもNTT中国は非常に不親切である。
 複雑で膨大なホームページを用意しただけである。
 わからなくなった時のために電話も用意されているが、まず誰も出ない。話し中の、ツー ツー という音が鳴るのみである。


こちらの話をすれば・・・・

 今。3月27日。いよいよ経過措置の書類を提出する提出期間が迫っている(3月いっぱいで提出)。

 このような肝心の時に、ベンダーの担当者はいくら電話しても出ない。

 留守番電話によると、休暇を取ったそうだ。

 1週間は出てくれない。これはどういうわけだ!


●もう一つの致命的欠点。

 このオンラインを電子カルテに繋げて、するとカルテの表紙が一発で出る、それが唯一の我々のメリットだ、というお話をした。
 今や電子カルテは世界中のハッカーから狙われているのである。
 敵は巨大で賢く、しかも無数にいると思わないといけない。


 彼らの攻撃を受けると誠にウザいことになる。 
 患者様の個人情報の他に患者様の病気や生々しい秘密も流出するので、病院の信用は失墜する。誠にウザい。


 また、電子カルテは破壊されて使い物にならなくなるので、また一から買い替えになる。彼らが「電子カルテを元に戻して欲しければ幾許かの金を出せ」と言ってくるのであるが、言うことを聞いて金を払っても、電子カルテは壊れたままである。彼らはただ言っているだけである。どこの誰かがわからない者と取引をして金を払う方が馬鹿なのである。


 診療は何日も中断するし、細々と紙カルテで再開するにしても、過去の診療録がないのでロクな診療は出来ない。

ひとりひとり「どちら様でしたか」から始まる間の抜けた外来になる。

 この点からも病院、医院の信用は失墜する。個人病院、個人のクリニックならこれを喰らうと1発で撃沈するかもしれない。

 故にこのようなウザいことを避けるためには、電子カルテをネットと繋がないことである。

 つなぐとしたらベンダーが電子カルテのバージョンアップをする時と、電子カルテが故障した際にベンダーの方でリモートでアクセスして故障の復旧に努める場合のみとしなければならない。
 そうしないと電子カルテは守ることはできないだろう。

 以前に大阪急性期・総合医療センターの電子カルテがハッキングされ情報は流出するし、電子カルテは破壊されるし、という事件が起きた(そのニュース クリック)。

 敵はどこから侵入したか、というと、給食業者を装って入ってきたと言う。
 つまり、給食業者も電子カルテにアクセスできたわけである。


 まあ、このメリットは分かる。
 入院患者の食事を給食業者がチェックできる
 この人には糖尿病食。この人は透析をしているから減塩食、などなど。
 つまり、電子カルテを常時開放していた、ということで、このような事件が起きたのである。

 病院関係者は「敵は正面玄関から堂々と入ってきた」とか言っていたが、正面玄関を24時間開いていた愚か者は誰なのだ、ということである。愚か者は病院そのものであったのだ。

 さて、大阪急性期・総合医療センターは先に述べたウザいことに直面して、結局しばらく紙カルテで細々と診療していた。

 ほどなくして電子カルテを莫大なお金を出して買い換えて、最近、通常診療に戻ったそうだ。 
 ずいぶんと反省したことだろう。

 さて、そこにオンライン資格確認である。
 
 ここで、カルテの表紙が一発で作られるからと言ってこれにつなげたとしたら、それは電子カルテが常時外部のネットの繋げると言う絶対にやってはいけないことを、またまた、やることになる、ことにお気づきだろうか。
 
 敵がここから入ってくる可能性もあるし、そのようなボヤっとした人が経営者だと電子カルテは簡単に蹂躙されよう。

 ベンダーからオンライン資格確認とレセコンを連動させますよ、と言われて、便利なことになるな、と私は思ったが、やめることにした。
 私は電子カルテのような dangerous と思えるものを使う気はないが(金もかかるし)、自分のレセコンも守らなければならないと思っている。

 この我々の生きる時代。我々のネット環境を守ることのできる者はだれか、といろいろ考えてみた。

 結論・・・自分しかいないのだ。

 ハッキングの事件は頻発しているが、国も業者もだれも守ってはくれないのだ。守ることは不可能であるし、そのような能力を彼らは持っていない。もちろんNTTも持っていない。

 第一、オンライン確認に関して言えば、NTT中国は黙って寝ていても金が転がり込んでくるのである。このような人間も会社に、セキュリティーのことなどできるはずがないのだ。

 我々がしっかりしないといけない。
 そのためには電子カルテを外部のネットと繋がないこと。
 画像を見るためのシステム( PACS) や心電図、身長計、体重計でもネットと繋ぎ電子カルテに一瞬で書きこめるものもあるが、そのようなものととにかく繋いではいけない、ということであろう。

 本当は国がネット回線を国内に限定したものも作ると良いのだが出来ないだろうしする気もない。
 国内だけだと事件が起こったら犯人を捕まえることも可能である。
 ネットは世界を駆け巡るから、捕まえようと思っても日本の警察権が及ばないので捕まえられないのである。

 我々がもっとしっかりして自分の電子カルテをも守らなければならないということだ。
 ぼやっとしていると確実にハッキングされるであろう。

 そして結局は今までの診療情報を失い、病院の信用は失墜、アホのレッテルを押され、膨大な金をかけてまた電子カルテを買い換えるのもの良いが、廃業も一つの有力な選択肢となるだろう。


後日談

 ベンダーにオンライン資格確認の端末をレセコンと繋げない、ということを申し上げると怪訝な顔をして、そのようなケースは初めてだ、と仰る。

 皆様。とっくりと考えてみてくだされ。

 電子カルテをネット上に常時接続すると、変な奴が来てウザいことになるかもしれませんよ。

 ウザい奴の入り口がオンライン資格確認でもう一つ増えるということ。ここに注意しなければなりませんよ。

 カルテの表紙が1発で出来る。

 ちょっとした便利のために、ものすごいウザいことに我が身をさらしてはいけません。


参考記事

大阪急性期・総合医療センターでシステム障害 サイバー攻撃か


大阪 住吉区の大阪急性期・総合医療センターは「ランサムウエア」と呼ばれる身代金要求型のウイルスによるサイバー攻撃を受け、電子カルテのシステムに障害が発生して緊急以外の手術や外来診療などを停止していると発表しました。復旧のめどは立っておらず、11月1日以降もこの状況が続くとしています。

これは31日、大阪急性期・総合医療センターが記者会見を開いて明らかにしました。

病院によりますと31日午前7時ごろ、電子カルテのシステムに障害が発生し閲覧などができなくなりました。

業者に相談して調査したところ、システム障害の原因は「ランサムウエア」と呼ばれる身代金要求型のウイルスによるサイバー攻撃を受けたためとみられるということです。

病院のサーバーには「すべてのファイルを暗号化した。復元のためにはビットコインで支払え。金額はあなたがどれだけ早く、われわれにメールを送るかによって変わる」などという英文のメッセージが届いたということです。

病院は31日朝から緊急以外の手術や外来診療などを停止しています。

今のところ復旧のめどは立っておらず、現在は紙のカルテを作成するなどして対応していますが、11月1日以降も通常の診療ができない見通しだということです。

大阪急性期・総合医療センターの嶋津岳士総長は「現在、原因の究明とシステムの復旧に向けて努力をしている。患者さんをはじめ、関係者の皆様に多大なご心配とご迷惑をおかけしてしまい誠に申し訳ありません」と話していました。

大阪急性期・総合医療センターは36の診療科に865のベッドがある総合病院で救急やがんなどの診療で地域の拠点となっています。

「ランサムウエア」とは 医療機関で被害相次ぐ

身代金要求型のコンピューターウイルス「ランサムウエア」は企業や組織などのサーバーに保管されたデータなどを暗号化し、アクセスできなくした上、暗号化の解除を引き換えに金銭を要求するサイバー攻撃の一つです。

侵入経路としては、不特定多数にメールを送りつけた上、添付ファイルや本文に書かれたURLでダウンロードさせる方法などがあるほか新型コロナウイルスの影響で利用が広がっている「VPN」などのリモート接続の脆弱性をねらうケースも目立っています。

医療機関が被害を受けた「ランサムウエア」によるサイバー攻撃は、国内では2018年に奈良県宇陀市の市立病院で患者の一部の診療記録が見られなくなるなどの影響が出たほか、去年は、徳島県つるぎ町の町立病院で電子カルテや会計システムのデータなどが暗号化され、およそ2か月にわたり、産科などを除いて新規患者の受け入れを停止する事態となりました。

この病院のケースでは、バックアップ用のサーバーもウイルスに感染し、患者の検査結果やX線などの画像が参照できなくなり、処方した薬の記録も見られない状態が長期間続き、診療に大きな支障がでました。

さらに、ことしに入ってからも1月に愛知県春日井市の病院がおよそ5万人の患者の情報が記録された電子カルテにアクセスできなくなるなどの被害が出ています。

こうした事態を受け、厚生労働省は医療機関向けのセキュリティー対策のガイドラインを改定し、バックアップの在り方や被害に遭った時の速やかな対処など「ランサムウエア」への対策を喫緊の課題として挙げています。


0 件のコメント:

コメントを投稿