【1036】認証はゴールでなく「スタート」、継続改善こそ「ミソ」
日々の学びや気づきを言語化し、行動を変え、未来を変える一助に。
月曜日です。月も半ばに入りました。いかがお過ごしでしょうか(^_^)
先週の金曜日に続き、以下のテキストから(^_^)
医療経営士テキスト「医療情報セキュリティマネジメントシステム(ISMS)」
(読書通算970日目)
今日は第5章、
「ISMS構築とISMS認証取得期間の事例」
です。いろいろな病院の事例が紹介されていました!
【放射線医学総合研究所重粒子医科学センター病院】
4つのセンターがあり、それらが密接に連携している。
他のセンターの職員が病院の情報システムを操作する必要がある。
研究系ネットワークと診療系ネットワークが存在する。
ネットワークの安全性が重要の課題。
理事長を頂点とする情報セキュリティーに関する管理体制、委員会の整備。
セキュリティポリシーの徹底、実施手順書の作成、監査の実施、最適化。
プライバシーポリシーで、セキュリティーポリシーに関する監査を1年に1回行っている。
マネジメントレビューの実施。
監査を行うことで、パスワードの定期的な変更、桁数の不備など、その他の不備や問題点を確認できた。
病院情報システムでは、医療行為という面から見るシステムの効率や使い勝手と、
機密や完全性を確保することで想定されるリスクもあり、どのレベルでバランスをとるか、
という問題がある。
詳細リスク分析を行っていく。
病院情報システムにおける個人情報セキュリティ上のリスクは、
慣れによる意識の低下であるが、ISMSによるPDCAサイクルを遂行することにより、
情報システムのセキュリティが向上した。
・・・・・・・・・・・・・・・・・・・・・・
気になった部分をピックアップしています。
考え方を周知すること、マニュアルを作成すること、監査を行うこと、不備を改善すること。
どれも大事ですし、やはりPDCAです。
やりっ放し、作りっぱなしはダメですね。
振り返ることで、山頂であれば、その道のりのどこまで来たのか、
予定よりも進んでいなかったとすれば、なぜか、
そもそも目標は適切だったのか、など、振り返り、改善する機会になりますね。
【徳島大学病院】
情報を多く扱えば扱うほど、「情報が漏れる、情報を失う、情報に尾ひれがつく」
などの問題が生じる可能性やリスクが伴う。
医療において重要なことは、患者との信頼関係、安全管理が十分あることを説明できること。
その一つが、プライバシーマークの認証。
個人情報の保護のため、日本独自の制度として生まれた個人情報保護のためのフレームワークである。
この導入により、リスク発生時の連絡体制やセキュリティに対する意識、
設備を含めた安全対策が向上。
例えば、個人情報は精神的にリラックスする場所で漏れることが多いので、
おしゃべり禁止マークを掲示。
個人情報保護の体制整備、教育、監査の実施。
莫大な個人情報を扱う中で、自由でリスクフリーな教育、研究体制を保障していくためにも、
ISOやPマーク取得は自己自己防御のためにも必要な仕組みであると考えられる。
個人から組織。
情報化と組織作りは、リスク低減という共通の視点から検討されるべきである。
患者にとって、個人情報が管理できている体制は安心感につながり、
関係者にとって、満足度や信頼度を高めることができる。
・・・・・・・・・・・・・・・・・・・・・・
どこまでやっていたらセキュリティ上、迷惑をかけないのか、
分かっているようで曖昧なことが多いのではないでしょうか。
基準があることで安心して医療を提供したり、研修に没頭することができる。
以前、標準化に関する医療経営士のテキストを紹介しましたが、
基準があるからこそ、評価できる、改善できる、ということが書かれていました。
理屈は同じ、と思いますね。
【聖隷沼津健康診断センター】
個人情報保護法の全面施行により、患者のニーズは「健康」だけではなくなってきている。
その中、プライバシーマークの認証取得や、ISMSの導入を試みた事例。
最初に行ったことは、全体像を描き、伝えること。全体像とはプロセスの明確化。
道筋を示し、今どこにいるのか、何をしていなければならないのかを明確にすること。
ステージ1の審査 当センターの取り組みへの強みや弱みを明確にする。
ステージ2の審査 この弱みの強化に全力を上げる。
認証取得はゴールでなくスタート。PDCAサイクルを回して積み重ねていく中で熟成していくもの。
・・・・・・・・・・・・・・・・・・・・・・
認証系「あるある」ですが、認証されて終わり、ということ。
担当者だけやきもきして全体の認知度が低い、など。
こうなってしまっては、もったいないですよね。
その認証を受けるプロセスで如何に多くの人に意義や基準を周知し、
巻き込み、改善活動につなげられるか、適時フィードバックや施設内で広報するなど、
継続的な取り組みが必要です。
例えば、認証の更新半年前から動き出すようでは、
なかなか周知されないですし、改善活動にはつながりにくいですよね。
【京都工場保健会】
当保健会では、医療に関わるスタッフが多く、カルテ情報の扱いを経験している。
個人情報保護やセキュリティに関する意識が比較的高い、というバックグラウンドがある。
しかし、職種や事業分野で、その意識の高さには差がある。
認証取得の進め方や費用面で折り合いがつかなかったので、
別のコンサルタントに依頼し、取り組んでいた。
管理体制として、現場に近いスタッフを情報セキュリティ管理者にあてるのが重要である。
情報漏洩リスクの分析、管理策の選択、残留リスクの評価、リスク対応計画の作成と実行、
情報セキュリティ11箇条の作成、情報セキュリティチェックによる確認、などを行った。
認証取得の効果。最初、職員間で大きな軋轢が生じるが、慣れてくれば徐々に軋轢は
少なくなってくる。運用時、マニュアルや規定等の文書も重要だが、実際の現場が
ルール通りの運用を行っているかどうかが最も重要。
常に意識向上を保ちながら、業務や社会状況に合わせて段階的にセキュリティ水準を
上げていくことが重要。そのためには、マンネリ化や形骸化が起きないよう、
規定や手順書による業務運用を少しずつ評価しながら改善し、浸透していく。
導入による具体的なメリットは、資産が明確になり整理を行うことができたこと、
ルールが明確になったこと、対外的な信頼度が向上したこと、
職員のセキュリティ意識が向上したこと、
不足の事態に対する事業継続の対策がなされたこと、などである。
組織としてのマネジメントをする際に、共通の理念、価値観、運用ルールを
構築する意味でも、導入のメリットがあると思われる。
・・・・・・・・・・・・・・・・・・・・・・
作って終わりでなく、継続的な運用が行なわれているかどうか、
評価しながら改善し、浸透していくこと。
このプロセスを経なければ、せっかく高いお金を払って、
また時間を使って導入したとしても、無駄ですよね。
一部だけ盛り上がって取り組むものほど、虚しいものはありません。
なぜか。表面だけで、心は冷めている、ということになりかねません。
貴重なプロセスを無視せず、着実に、巻き込んで取り組んでいきたいですね。
では、また明日(^_^)v
◇過去の内容、記事はこちらから是非(^-^)
◇メルマガ登録はこちらから(^-^)
https://www.mag2.com/m/0001682907.html
◇以下は、中小企業診断士試験の受験(不合格体験)を通しての学びを電子書籍にしたものです。
リベンジ予定ですが、しばらく別の活動中。その他の書籍も是非ご覧下さい。
Kindle Unlimitedで読めます(^-^)