中小企業のためのセキュリティ対策

三重大病院のカルテ改ざん— 情報資産の完全性は?

病院のセキュリティ

三重大学病院の准教授・麻酔科医がカルテを改ざんしたとして逮捕されました。

業務用文書の改ざんは、公電磁的記録不正作出罪に問われます。

カルテに記載される内容は、医療情報ですので、個人情報にも該当します。

このような情報資産が大学病院内で改ざんされるということは、組織内の情報管理体制が不十分であったことがうかがわれます。

情報資産を管理する上で、まず組織内の情報資産を確定し、その重要度の評価を行います。

その重要度に応じて組織内のルールを決め、周知徹底していくというのが、セオリーです。

情報資産を評価するには通常以下の3つの指標が使用されます。

項目 内 容
機密性 ある情報資産に対し、アクセスを許可された者と許可されていない者を区分し、許可された者だけが、情報資産に対して、読み込み・書き込みができるとする特性。
完全性 情報資産に対する処理が正当なものであることを維持するとする特性。概ね機密性の評価と一致する。
可用性 必要な情報資産が必要なときにアクセス可能であるという特性。

今回の改ざんのようなケースでは、上記3項目のうち「完全性」が問題になります。

一旦作成されたカルテは、当然のことながら正確な情報が保持されることが求められます。

完全性の「情報資産に対する処理が正当なものであることを維持するとする特性」が守られなかったということになります。

カルテのような業務文書が修正・訂正されるにあたり、内容の変更承認をするようなプロセスがルール化されているべきでした。

少なくとも変更内容を事後に(訂正者は誰かなど)トレースできるようにはしておくべきです。

文書にディジタル署名とタイムスタンプを設定し、更新者と更新日時を記録しておくといった対策が求められます。

ディジタル署名とは、文書作成者の所持する(文書作成者以外には公開されない)秘密鍵により署名を付すことにより、文書の作成者が本人であることを証明するもの

タイムスタンプとは、第三者機関である時刻認証局が付す時刻情報を含む電子データのことであり、作成された電子文書が「いつ作成されたか」、「その後改ざんされていない」ことを証明するもの。

時刻認証局は日本データ通信協会により認定を受けた機関が時刻情報を発行する。2020年12月現在、アマノタイムスタンプサービス、セイコースタンプサービスなど5サービスが認定を受けている。

詳しくは、「一般財団法人 日本データ通信協会 タイムビジネス認定センター」を参照してください。

これらを導入するために気になるのは、導入コストです。
ディジタル署名は当サイトの「電子契約はこんなに簡単にスタートできます」でもご紹介していますが、有効期限2年で15,000円程度、タイムスタンプサービスは月額8,000円程度で導入ができます。

セキュリティ対策としては安価なものではないでしょうか?

ABOUT ME
早稲田大学政治経済学部卒業。 みずほ情報総研株式会社(現みずほリサーチ&テクノロジーズ株式会社)、政府系金融機関SI企業勤務を経て、2020年アイトクコンサルティング設立。 ITを活用した業務改善、セキュリティ対策、クラウドサービス導入など中堅・中小企業を中心にIT・経営支援に従事。