|
医療分野の情報システムにて医療情報のデジタル化により新たに生ずるリスクの把握および評価を施設毎に異なる環境・運用要件などを考慮して求め、セキュリティ対策の最適化についての検討を実施した。
医療分野のシステムは他分野のシステムと比較して、情報化が遅れている分野の一つであるが、医療の最適化や効率化の為に、早急なる普及が望まれている。普及を妨げる理由の一つにシステム構築・運用に伴うセキュリティ対策の構築・運用の課題がある。理由として、対策評価に必要な医療情報の価値(医療資産)の把握が困難、および施設内のセキュリティ専門家の不在がある。本研究では、これらの問題点を解消する為に、価値基準、リスク評価およびセキュリティ対策を医療分野に特化することにより解決を図った。
本研究の、独創的な特長として、1)独自モデル作成による全ての医療分野の情報システムへの対応可能、2)医療資産をシステムが被る損額ではなく、医療情報の利用に不可欠な基準への対応度とすることにより基準を脅かす影響度合いとその発生確率にてリスクを算出することにより一般の評価方法では、算出困難な定量的なリスク評価可能、3)基準に基づいた安全許容度を検討し、システムの各事象におけるリスクが許容度から離れているかを定量的に評価し、離れた割合に対して分類し、過不足ないセキュリティ対策を実施したものである。
本方式を実際の2種類のシステム(広域放射線治療用データベースシステムおよび施設間連携医療情報システム)に適用したことにより、システムのリスク評価値に応じたセキュリティ対策の優先度およびコスト配分により、セキュリティ対策を施すことにより既存の方式と同等の安全性を確保しながら、それぞれ61%、63%の改善が認められ過不足ない最適なセキュリティ対策が実施できた。
|
