お寄せいただいたご質問等に対して、講師の若村先生からのご回答を掲載しています。
講師:シスコシステムズ合同会社 インダストリーソリューションズグループ所属
若村 友行 氏
テーマ:いまさら聞けないIT関連の【こと】
▶Q1. -非常に初歩的ですが、パスワードの管理について DXが進むにつれて、各人膨大な量のパスワードを取り扱うことになります。パスワードを強力にするためには、意味を持たない長い文字列かつ頻繁な変更が必要になると理解はしておりますが、結局同じパスワードを長期間使いまわしていたり、パスワード管理ソフトのパスワード自体がゆるかったりと、問題のある運用が多いケースが多いと思います。当院だと、もはやID・パスワードが付箋ではってあるという論外的な運用も目にしますが、この時代における推奨されるパスワード管理方法があればご教示ください。
▶A1. パスワードについては、厚労省の医療情報の安全管理に関するガイドラインでも5.2版と6.0版で記載内容に変更がありました。ガイドライン5.2版では、
1.英数字、記号を混在させた13文字以上の推定困難な文字列
2.英数字、記号を混在させた 8 文字以上の推定困難な文字列を定期的に変更させる(最長でも 2 ヶ月以内)
という記載がありましたが、6.0版のシステム運用編では、この記載がなくなっています。Google検索でもパスワードの定期的な変更を求めることが、覚えやすい簡易なパスワードになるなどといった記事もあります。このようにパスワードを覚えて管理することが難しくなっているゆえに、二要素認証が役立ちます。
IDとパスワードを設定し、たとえパスワードが漏洩したとしても、二要素目の生体認証や個人所有物のスマートフォン、E-mail、SMSなどで認証をすることで、記憶に頼る仕組み以外で保護する方法ができれば、ユーザ負担が軽くなります。パスワードレス認証という記事でも、多要素認証で複雑なパスワード管理から解放されるとされています。
https://cloud.watch.impress.co.jp/docs/topic/special/1490730.html#
多要素認証を導入することはコストとなりますので、皆様全てが取れる対策ではありませんが、この記事内でも
・パスワードによる認証の一番の問題は、「パスワードが盗まれてしまう」ことです。
・盗まれたパスワードが不正利用され、被害が甚大になってしまう最悪のケースもあります。
・「パスワードを覚える」「パスワードを複雑化する」「パスワードを定期的に変更する」「パスワード忘れによる新しいパスワードの設定」など、企業においては利用するユーザーも管理者も、目には見えづらい多くの時間を割いています。
という記載がある通り、被害をコスト化し、その被害に遭わないために予算を取って対策をすることが経済的であるという理屈で購入予算を捻出したり、従業員のパスワード管理の時間ロスを損失利益として予算化するなど検討されています。
▶Q2. -最新・最速のネットワークの必要性について 私自身オンラインゲームをたしなむため、個人のネット環境については最速を心がけております。急性期の超大型病院等は別として、当院のような療養専用の病院において、大量データを送受信するケースは乏しいと考えております。最新・最速系のネット環境は逆に制限がかかる(エリアや設備)ケースもあり、その点を踏まえて、スピードを抑えて安定感を取るという選択肢についてお考えがあれば共有いただけると幸いです。それとも、今の時代、スピードと安定は両立するのでしょうか?
▶A2. ネットワークを利用して、端末からネットワーク先のサーバ(情報元)と通信をする際のスピードと安定性でご回答させていただきますと、ネットワーク先のサーバが院内の場合は、自前で構築するネットワークでスピードと安定性はコントロールできます。自前のネットワークであれば、通信しているアプリケーションごとに通信スピードの優先順位や帯域(道の広さ)に制限をかけられます。通信スピードの優先順位や帯域制御は、ネットワーク機器の機種(グレード)によりできることが異なりますので、貴院で利用されているネットワーク機器が対応しているのかは確認する必要があると思います。
一方、ネットワーク先のサーバが院外にあるため、その経路がインターネットである場合は、スピードと安定性の両立はできません。またスピードの保証も安定性の保証も難しいです。より高額なお金を払い専用線サービスという回線であれば、帯域保証と安定性保証というネットワークサービスがありますが、療養専用で大量データを送受信するケースが乏しいという前提では、まったく費用対効果があわないと考えます。
▶Q3. -いわゆる”回線オチ”について 今後の病院経営において、ありとあらゆることがデジタルかIT化していくことについては私自身疑問に思っておりません。 個人的には、スキャニングや、VR、ロボット技術を活用し、リモートオペが出来る時代もすぐそこと思っております(するとアメリカの最新のオペを世界中どこでも受けられるみたいな話がくると思うのですが、結局政治と業界の壁が高すぎて進まないと予想しておりますが)。 ただ、このような技術が進めば進むほど、回線落ちや、ラグ・バグといったことによる医療事故リスクが多く発生することが予想をされるかと思います。 ネット環境を安定させていくための方策につき、国レベルで対応をしていることや、病院レベルで対応すべきことがあればご教示ください。 (詳しくはありませんが、最新技術になればなるほどレイテンシーや電力の議論等が出てき、結局地方だと対応が難しい等のことは考えられますか?)
▶A3. 国レベルでは、国産データセンター、海底ケーブルの新たな敷設など、東京に一括集中しているデータセンターを電力需要などを考え分散化させることや、より海外と早い経路を通過できることによる遅延を抑え、遠隔手術を行うなどの取り組みがされています。
半導体・デジタル産業戦略(R5 6月)
https://www.meti.go.jp/policy/mono_info_service/joho/conference/semicon_digital/kaitei_senryaku.pdf
P214 デジタルインフラ整備の方向性について
P215 デジタルインフラ(DC等)整備に関する有識者会合 中間とりまとめ 2.0 【概要】
一方、病院レベルの回線落ちについては、有線の回線を複数契約する。(自動で複数のネットワーク回線を切り替えるネットワーク機器もあります。)や有線と無線(LTE(4G)や5️G)の併用など通信経路を複数持つことになると思います。衛生通信回線はまだ高いので準備検討する対象にはならないと考えています。
▶Q4. -GAFAの電カル進出について 現在、各社の電カル・医事コンを見ておりますが、正直使い勝手やUIのレベルが1-2世代古いと思って拝見しております。 冗談抜きでGoogleさんやAppleさんに参入してほしいと思っておるのですが、参入障壁はマーケット規模の問題なのか、やはり政策的な問題なのか?その他の問題があるのでしょうか?
▶A4. つい最近、フィリップスが電子カルテの日本展開を検討されていました。が、医事システムとの接続が難しいなど、既存のシステムとの接続観点での懸念がありなかなかうまくいっていません。あと、国産カルテベンダーの囲い込みで、データが標準化されていないため、乗り換えが難しい問題など技術的なことが問題となっています。マーケット規模という観点からは、英語圏のシステムベンダーが日本国内に進出する場合は、2バイトの日本語化というローカライズ処理に費用をかけて参入準備をしますが、2バイトの文化圏への対応と、英語のまま展開できる新規進出先のマーケットを考えるとまだまだ英語圏の進出を優先しているという経営判断があると思っています。
▶Q5. -IT知識の習得について 正直素人で、勉強しないといけないと思っております。”ggrks”と自分自身に言い聞かせてはおりますが、他方、国のリスキング政策の中で、高度のIT技術習得プログラムについてはかなり高い補助率が設定されております。国がイメージする具体的なプログラムにはどういったものがあり、実務のプロ目線で、そういったプログラムを受講することの有益性についてコメントを頂戴できれば幸いです。 半ば愚痴ですが、最終的に医療業界における革新は政策的な壁が高く、さらにいうと、医療業界自体が医療業界の足を引っ張っているような側面があるようにおもっております。 色々と申し上げて、大変申し訳ございません。よろしくお願いいたします。
▶A5. 岸田内閣がリスキリングという言葉をつかっていますが、学び直しに力を入れていくという動きは少しずつひろがっています。
日本リスキリングコンソーシアムには、弊社も関与していたりします。
日本リスキリングコンソーシアム
https://japan-reskilling-consortium.jp
が、最新のITを学んでも医療業界はまだ一歩、二歩遅れたIT化なので、IT人材が苦戦する時代はまだ続きそうです。私もなんとかしたいテーマであります。
ご質問をお寄せいただいた皆さま、ご回答いただいた若村先生、誠にありがとうございました。