-医療のIT化における社会的責任と義務-
   〜推進される電子カルテとその脅威〜
e-Japan戦略の中、わが国ではさまざまなレベルで医療機関の情報処理は電子化されつつあります。わが国の医療機関のIT化は医事会計システム、部門システム、オーダエントリシステム、電子カルテの順に整備されてきています。
近年、電子カルテが注目されている背景には、医事会計システムやオーダリングシステムが事務作業の合理化を目指したものに対して、電子カルテは積極的なグループ診療をサポートすることを目的にしていることに帰します。国策として本格化する医療のネット社会において、医療ベンダや個人に課せられるITセキュリティの社会的責任と義務について取り上げてみます。
------------------------------------------------------------------
■ネットワーク犯罪の脅威の連鎖
そもそも情報システムには、さまざまな脅威が潜在していて、そこにあるリスクを完全にコントロールすることは現実的ではありません。しかし、情報システムのそれぞれが独立して稼動していた時代では、万が一その脅威が実現化しても、他のシステムに大きな影響を与えることはありませんでした。
ところが近年の情報技術の進歩によって、世界中に存在する無数の情報システムがネットワークにシームレスに接続され、テレビ放送や電話網などとも融合化するといったデジタル統合化が現実されようとしています。世界中のシステムがデジタルネットワークという神経によって自律的に統合され、一つの生き物のようになろうとしています。医療機関の情報システムにおいても、例えば医療画像ネットワーク製品のような画像ネットワーク製品や、オーダリングシステムとの基幹連動などシステムのIT化に伴う巨大ネットワーキングがアメーバのように繋がれ形成されていく方向が想定されます。
このような状況下では、一つの情報システムに潜在する脅威が、そのシステム内に留まらず他のシステムにおいても脅威となります。インターネットを介してシステムを接続することは、大きな利益と同時に損失をもたらすような投機的リスクを生み出します。インターネットを介して無数のシステムが接続されるネットワークコンピューティング環境は、それぞれのシステムに潜在している脅威の連鎖を生じさせます。インターネットには、ネットワーク全体をコントロールする仕組み自体が存在しないのです。

■医療機関とベンダが負うべき社会的責任と義務
院内に張り巡らされた情報ネットワークを、快適にかつ安全に利用していくためには、医療機関とそれを提供するベンダが、情報セキュリティに関して応分の社会的責任と義務を果たす必要があるのではないでしょうか。実生活においても、安全かつ快適に暮らしていくために、多くの人々が節度ある生活態度やモラルの遵守が必要であると同じように、IT化されたネットワーク社会においても他人に迷惑をかけない社会的責任と義務を負う必要があることは自然なことです。
しかし、医療ネットワークにおけるルール違反は時として、患者の個人情報の漏洩だけに留まらず、医療情報の改ざんなどにより患者の生命に関わる事故をもたらす可能性もあります。医療ネットワークが実社会のITネットワークと異なるポイントは、ネットに流れる情報の多くが患者情報であるということです。患者情報とは、個人の氏名や性別だけではなく、身体的な特徴や病歴など、最も慎重に扱われるべき個人情報です。これらの患者情報が紙上のカルテで扱われるときは、患者にとって容易に了解できるものですが、地域連携を含めた電子カルテシステムでは、情報は地域ネットワーク上で容易にアクセスできる状態で存在し、紙やフィルムに比べて患者にとって分かり難くなることは避けられません。
このように医療機関の情報システムがIT化されることにはリスクが存在しますが、しかし多くの恩恵を得ることができます。どの地域の患者も最先端の医療サービスを平等に受けることができたり、初診をスムーズかつ確実に行うことができたり、また病院間の患者の移動についてのリスクも大幅に軽減できるとが想定されます。これらを安全に利用するためには、ネットワークに接続するマシンそれぞれがネットワークの構成員であることを自覚して、利用する各自がその情報セキュリティの担保に努めることが社会的責任といえます。

■医療における個人情報保護
 →いまのところ日本では、米国とは異なり医療における個人情報保護の法律は作られていません。法律として存在するのは個人情報に関する3法(個人情報保護法)のみです。しかし、この個人情報保護は総括法であり、医療に適用したときに具体的にどのようになるかについてはまだ明らかではありません。また、医療には多くの関連エリアがあり、福祉、保健、医学研究、医学教育、医療行政などそれぞれが個人情報保護と深い関わりをもっています。今後、医療産業界・医療工業界などから多くのガイドラインが登場することは明確ですが、これらのガイドラインはより公的な場で議論されなければならないという属性を持っています。個人情報保護法が成立した現在、そのための時間はそれほど多く残されているわけではありません。
医療機関がこうした個人情報の保護を実施していくことには大きな困難があります。今後は、各医療機関は個人情報保護とセキュリティのための担当者をおくことを迫られるようになることでしょう。事実、米国ではHIPAA法の成立によって、各医療機関にはプライバシ保護担当者(Privacy Officer)をおくようになりつつあるようです。