It was the question that sparked a journey. When I first began exploring why some organizations seem to turn data into gold while others drown in it, I wasn’t chasing the next buzzword or new technology. Rather, I was working with senior executives who had invested millions in analytics platforms, only to discover that their…
When I first stepped into enterprise architecture leadership, I expected modernization to unlock capacity and enable growth. We had a roadmap, a cloud architecture we believed in and sponsorship from the business. Teams were upskilling, new engineering practices were being introduced and the target platform was already delivering value in a few isolated areas. On…
医療情報システムの安全管理ガイドラインは、名称こそ「ガイドライン」ですが、実務的にはほぼ必須の基準として扱われています。その理由は、医療機関にとって、個人情報保護法や医療法などを遵守していることを対外的に説明する際、このガイドラインに沿った運用をしているかどうかが、最も分かりやすい指標になるからです。監査法人や行政の立入検査、保険者のチェックなどでも、このガイドラインが参照されるケースが少なくありません。
第6.0版では、サイバー攻撃の高度化やクラウドサービスの普及を背景に、組織的・技術的な安全管理措置が一段と具体化されました。経営層に対しては、単に「情報セキュリティに配慮する」ではなく、情報セキュリティポリシーの策定、予算措置、BCPとの連動など、統制の枠組みを構築する責任が明示され、情報システム担当者には、アクセス制御やログ管理、暗号化、バックアップ、委託先管理といった具体的な対策が求められています。
このガイドラインが「必須」に近い重みを持つもう一つの理由は、ベンダーやクラウド事業者が製品・サービスの仕様を設計する際の前提条件になっていることです。医療向けSaaSやクラウドサービスのパンフレットには、「医療情報システム安全管理ガイドライン第6.0版準拠」といった文言が並びます。つまり、ガイドラインは医療機関の内部ルールであると同時に、市場に流通するITサービスの品質を規定する「業界標準」の役割も果たしているのです。
全国医療情報プラットフォームや電子処方箋、オンライン資格確認といった医療DXプロジェクトは、単独の大規模システムとして存在しているわけではありません。実際には、各医療機関の電子カルテシステムやレセプトコンピュータ、院内ネットワーク、地域医療連携システムなどと複雑に連動しながら動いています。その際、どこまでを国のシステム側が責任を持ち、どこからを医療機関やベンダー側の責任とするのかという「責任分界」が常に問題になります。
医療情報システム安全管理ガイドラインは、この責任分界を整理するための枠組みも提示しています。クラウドサービスを利用する場合、インフラ部分のセキュリティはクラウド事業者が担う一方で、アカウント管理やアクセス権限設定、ログの確認、端末側のセキュリティなどは医療機関の責任、というように、層ごとに役割を分けて考えるのが基本的なアプローチです。これを明確にしないままシステム導入を進めてしまうと、インシデント発生時に「誰が何を怠ったのか」が不明瞭になり、適切な改善が進まなくなってしまいます。
また、ガイドラインは、医療DXプロジェクトに参加する際の「参加条件」としても機能します。オンライン資格確認を利用するためには、ネットワーク分離や端末認証、マルウェア対策、物理的なアクセス制御など、一定のセキュリティ要件を満たす必要があります。電子処方箋や電子カルテ情報共有サービスへの接続も同様で、それぞれの仕様書とガイドラインを突き合わせながら、院内のインフラ整備計画を立てていくことになります。
もっとも、ガイドラインが整備されたからといって、すべての医療機関が理想的なセキュリティ体制を構築できているわけではありません。地方の中小規模病院や診療所では、専任の情報システム担当者を置くこと自体が難しいケースも多く、日々の診療を回すだけで手一杯という現実があります。ランサムウェア攻撃による診療停止のニュースが相次ぐなかで、最低限のセキュリティ対策と医療DXへの対応をどのように両立させるのかは、今後しばらく続く大きな課題です。
その意味で、ガイドラインは「守るべきチェックリスト」であると同時に、「どこまでできれば一定の水準を満たしていると言えるのか」を示すベンチマークでもあります。すべての項目を完璧に満たすことが難しい医療機関であっても、自院のリスクとリソースを踏まえ、優先順位をつけながら段階的に対応を進めていくことが現実的なアプローチです。その際には、ベンダーや地域の医師会、第三者機関などとの連携を通じて、知見やコストをシェアしていく工夫も求められます。
今後、医療情報ガイドラインはサイバー攻撃の手口や技術の進展に応じて、さらに改定が行われていくと見込まれます。重要なのは、そのたびに「また新しいことをやらされる」と受け身になるのではなく、自院のデータガバナンスや医療DX戦略を見直す機会と捉える姿勢です。法律だけではカバーしきれない現場のリアルな課題を、ガイドラインという形でどこまで吸収できるか。それこそが、医療DXの成否を左右する鍵になっていくのかもしれません。
Read More from This Article: 法令だけでは足りない―医療情報ガイドラインと医療DXのリアル
Source: News
Subscription prices from major SaaS vendors have risen sharply in recent months, putting many CIOs in a bind as they struggle to stay within their IT budgets. SaaS subscription costs from several large vendors have risen between 10% and 20% this year, outpacing IT budget growth projections of 2.8%, says Mike Tucciarone, a vice president…
Agentic systems are increasingly operating in agent-to-human and agent-to-agent scenarios, driving decisions and automating operations across the enterprise. As these intelligent systems accelerate, Kevin Dallas, CEO of EDB, an AI infrastructure company, has a clear view of where the data infrastructure market is heading. EDB Postgres AI brings together a sovereign and open foundation, a…
La Asociación Española para la Digitalización, DigitalES, ha publicado el informe “Inteligencia Artificial y Ciberseguridad: recomendaciones para una implementación segura en las empresas”, en el constata el aumento acelerado de la adopción de inteligencia artificial (IA) en España y los riesgos de ciberseguridad que su expansión está generando en el tejido empresarial. El documento, que…
엔터프라이즈는 공개적으로 인정하지 않지만, 상당수 클라우드 비용은 겉보기에는 평범해 보이는 한 가지 문제에서 비롯된다. 바로 비효율적인 코드다. 소프트웨어 딜리버리 플랫폼 기업 하네스(Harness)가 아마존웹서비스(AWS)와 공동으로 작성한 연구 보고서에 따르면, 미국과 영국의 엔지니어링 리더와 개발자 700명을 대상으로 한 설문에서 52%가 핀옵스(FinOps)와 개발자 간의 단절이 클라우드 인프라 비용 낭비로 이어지고 있다고 답했다. 보고서는 “현재 현실은 개발자가 비용 최적화를…
BCG의 연구에 따르면 디지털 트랜스포메이션(DX)의 70% 이상이 목표를 달성하지 못하는 것으로 나타났다. DX 선도 기업은 경쟁사보다 높은 성과를 내며 결실을 거두고 있지만, 기술을 활용해 기업의 속도와 역량을 끌어올리는 과정에서 복잡성에 가로막혀 이니셔티브가 좌초되는 경우도 많다. 구조가 복잡해질수록 성공 가능성은 점점 낮아진다. 그 배경에는 점점 분명해지는 역설이 있다. 기술은 기하급수적으로 발전하고 있지만, 기업의 변화 방식은 대부분…
깃허브가 이번 주 자사 npm(Node Package Manager) 레지스트리의 보안 체계를 대폭 강화하는 마지막 단계를 적용했다. Node.js 생태계에서 가장 널리 사용되는 npm 레지스트리를 대상으로, 증가하는 소프트웨어 공급망 공격 위협에 보다 강하게 대응하겠다는 취지다. 앞서 두 달 전 예고한 대로, 12월 9일을 기점으로 npm은 만료 기한 없이 사용되던 ‘클래식(classic) 토큰’ 또는 ‘장기 토큰(long-lived tokens)’을 전면 폐기했다. 이…
오라클이 AI 기반 데이터센터를 공격적으로 확장하면서 잉여 현금 흐름(FCF)이 급격히 악화된 것으로 나타났다. 지난 분기에는 20억 달러 적자에 그쳤지만, 11월 30일로 끝난 이번 분기에는 적자 규모가 100억 달러로 증가했다. 분석가들은 이런 재정적 압박이 향후 가격 인상과 고객 계약 조건 강화로 이어질 수 있다고 분석했다. 그레이하운드 리서치의 CEO 산칫 비르 고기아는 “오라클은 투자가 수익 창출 속도를…