はじめに
遠隔医療について4回に分けて投稿しており、今回はその4回目だ。遠隔医療のセキュリティや医療技術評価について紐解いてみたい。遠隔医療に関しては調べれば調べるほど奥が深く、4回の連載ではとても書ききれない部分も多い。それは医療の問題と社会の問題と情報通信の問題が重畳するためだ。その意味では、今後も適時このトピックについては投稿できればと考えている。
その1:遠隔医療の定義と傾向(前々々回の投稿)
その2:遠隔医療の課題(前々回の投稿)
その3:増大する医療費と使える遠隔診療アプリの動向(前回)
その4:セキュリティと今後の可能性(⇨ 今回)
電子カルテの普及状況
遠隔診療を本格的に進めることと電子カルテの整備を進めることは車の両輪と言える。遠隔医療で行う予約、問診、診察、処方、決済などの活動はカルテに反映させる必要がある。カルテが手書きでも不可能ではないが、より自由度の高い活動を実現するには電子カルテが必須だろう。遠隔診療での医療活動はカルテに記載するとともに、診療報酬点数の計算のためにレセプトコンピューターへの入力も必要だけど、電子化すれば煩雑な処理は自動化することも可能だろう。では、電子カルテの普及は進んでいるのだろうか。厚生労働省によると2008年(平成20年)には14.2%だった一般病院の普及率は、2017年(平成29年)には46.7%にまで改善している。
(出典:厚生労働省)
オンライン診療に潜むリスク
電子カルテが進み、遠隔診療に必要なインフラやツールが揃えば遠隔診療が可能となるのだろうか。医療に関する情報は、プライバシーに関するものであると同時に人命に関わるものでもあり、機密性が非常に高い。このため、医療機関へのサイバー攻撃に対する対策が必要不可欠だ。特に懸念すべきは脆弱性を狙うサイバー攻撃と悪意ある患者のなりすましや傍受・盗聴だ。
懸念1:脆弱性を狙うサイバー攻撃
悪い人は人の弱みにつけ込んでくる。この弱みが脆弱性(Vulnerability)だ。医師も患者もITのリテラシーが高いとは限らない。コンピュータシステムを構築する場合には数多くの試験を行うが、残念ながら脆弱性をゼロにはできない。脆弱性には、プログラムの設計ミスによるセキュリティホールだけではなく、外部からの攻撃に弱い部分も含まれる。DoS攻撃など国家規模のサイバー攻撃のターゲットになった時に被害を最小限に止める対策が重要となる。
懸念2:悪意ある患者のなりすまし
悪意のある第三者による攻撃には、医師へのなりすましのケースと患者へのなりすましのケースがある。前者は、病院や医師になりすましたサイトに患者を誘導して、患者の情報が窃取するトラブルだ。一方、後者は、患者になりすました第三者が、睡眠導入剤や向精神薬などの処方を受けて違法に薬物を入手したり、転売するというケースだ。特に、医者と患者が違いを認識できる場合にはなりすましは難しいが、コロナ禍では初診も認められているため、なりすましのリスクへの対応は必要だ。
懸念3:オンライン診療の傍受・盗聴
医者と患者をオンラインで接続する場合には、その通信が暗号化されていない場合には第三者が通信に侵入する懸念がある。悪意ある第三者による会話の盗聴や傍受を防ぐためにHPKI認証という仕組みを活用しているが、これは後述したい。
(出典:NRIセキュアテクノロジーズ)
医師資格証とHPKI認証
病院には厚労労働大臣から交付された医師免許証が掲載されている。これが医師が免許を交付されていることの証明となる。しかし、これは持ち運びには不便だ。このため、2014年1月より、電子的な医師資格証が発行されている。
医師資格証とその申請数
2021年7月31日現在での医師資格証の保有者数は18,717人だ。取得率は、日医会員では9.89%、全国医師数では5.72%に留まっている。この医師資格証には、必要な情報がカード内のICチップに格納されている。このため、医療系のシステム等を利用するための認証が可能だ。
(出典(左):日本医師会、出典(右):日本医師会電子認証センター)
HPKI認証による電子署名
HPKIとは、保健医療福祉分野公開鍵基盤の意味であり、Healthcare Public Key Infrastructureの略だ。HPKIは厚生労働省が認めた電子証明書であり、医師・薬剤師・看護師など26種類の保健医療福祉分野の国家資格と、院長・管理薬剤師など5種類の管理者資格を認証する。ISO17090に準拠した証明書でもある。一般財団法人医療情報システム開発センター(MEDIS)は厚生労働省のHPKI認証局として、医療従事者のHPKI電子証明書を発行している。HPKI電子証明書を用いることで、医師の押印が必要な書類を、電子署名を付加することで電子的に正本として扱うことが可能となった。
(出典:日本医師会ORCA管理機構)
HIPAA法とHITECH法
海外における法整備として、米国におけるHIPAA法とHITECH法について簡単に記載する。
HIPAA法とは
医療保険の相互運用性と説明責任に関する法律(HIPPA : Health Insurance Portability and Accountability Act)は、1966年に制定された米国の法律であり、電子化した医療情報に関するプライバシー保護・セキュリティ確保について定めている。HIPAA法では、個人を特定する保健情報を保護対象保健情報(PHI : Protected Health Information)と呼び、個人の健康状況やヘルスケアの対策、支払い状況等を指す。このPHIを保護するためにデータのプライバシーやセキュリティの条件を定めるのがHIPAA法の目的だ。データの保有者が、データの管理に関わる業務を外部に委託する場合は、ビジネスアソシエート契約を結ぶ(出典)。
HITECH法とは
経済的及び臨床的健全性のための医療情報技術に関する法律(HITECH : Health Information Technology for Economic and Clinical Health Act)は、前述のHIPAA法の違反に対する罰則を明記した米国の法律だ。HITECH法では医療機関がプライバシー規則やセキュリティ規則に準拠しているかを監査する。HITECH法では、その適用対象が対象事業者の事業提携者(BA : Business Associate)に拡大された。BAは、PHIの管理に関わる業務を対象事業者に代わって行うか、PHIの管理に関わるサービスを対象事業者に提供する組織もしくは個人を指す(出典)。
ZOOMにおけるHIPAA法準拠
医師が患者とオンラインで接続する方法の一つが、オンライン学習やテレワークにも活用されているZOOMやTeamsなどのプラットフォームサービスだ。ここでは、操作性に優れたZOOMを医療用に提供するZoom for Health careについて説明する。
・Zoomが提供する各種機能は、利用者がHIPAAに準拠するように支援する。Zoom for Health careでは健康情報(PHI)を保護するため保護手段を採用し、ビジネスアソシエイト契約(BAA)を締結することによりHIPAAに準拠できるよう支援する。
・Zoomはお客様がGDPRなどのデータプライバシー法、カナダの連邦プライバシー法である個人情報保護電子文書法(PIPEDA)、地域的にはデータ保護契約を締結した個人健康情報保護法(PHIPA)に準拠したプログラムを実現できるよう支援する。
・無料版のZoomBasicには、BAAを締結するオプションは含まれていない。BAAを締結するためには、少なくとも1つの有料ライセンス(Pro以上)を持つZoomアカウントが必要である。
・ZoomはPHIを保護する機能を備えている。インスタントミーティングやパーソナルミーティングID(PMI)を使ったミーティングではミーティングパスコードを使用することや、控室機能を利用して参加者を個別に承認すること、認証プロファイルを使用してログインユーザーや特定のメールドメインを持つユーザーに限定するなどによりセキュリティを高めることができる。
・Zoomは、Epic、Nimbo、IntakeQ、NextPatient、Phreesia、ClinicOfficeなどの医療情報技術システム、電子医療記録(EMR)、診療管理プラットフォームと統合できる。予約のリマインダーを自動化することで、キャンセルや無断欠席を減らしたり、診察料を徴収することも可能だ。Zoom App Market placeでは、管理業務やケア提供を合理化、簡略化するアプリを見つけることができる。
・ZoomPhoneでは、安全なテキストメッセージやZoomミーティングの情報を患者さんに送ることができる。BAAを締結すれば、SMSを含むZoomPhoneの製品や機能を使って、患者さんとコミュニケーションを取れる。
・Zoomは医療機器と連携できる。Zoomは、電子聴診器、耳鏡、一般検査カメラ、ダーモスコープなど、患者さんの遠隔診察や監視を行う多くの種類の医療機器と統合できる。医療従事者は、対面せずに患者を診察することも可能だ。
・ZoomPhoneは、既存の電話システムと統合できる。ZoomPhoneは、最新のセキュリティ規格に準拠した標準ベースのエンドポイントとの相互運用性をサポートしているため、クラウドベースの電話ソリューションに切り替えながら、既存のハードウェアを簡単に使用できる。
・プロバイダーは会議をクラウドに記録し、その記録を患者のカルテに追加できる。Zoomのプラットフォームでは、録画を作成できるので、患者との面会をクラウドに録画し、その録画リンクを患者のカルテに追加したり、録画をダウンロードしてサーバーに保存できる。
・Zoomヘルスケアアカウントでライブトランスクリプションを利用できる。会議を開催する際に、ライブトランスクリプトをクリックして、参加者にこのサービスを有効にすると、耳の不自由な医療従事者や患者さんには、ライブトランスクリプションが利用可能と会議中に通知される。会議終了後に音声トランスクリプトをダウンロードしたり、VTTファイルを正確に編集したり、患者のEMRにトランスクリプトを保存できる。
診療報酬の改定
日本の医療現場においても、電子カルテの整備やICカードを内蔵した医師資格証に基づく電子的な認証処理などが稼働しつつあるが、電子カルテの普及率は大規模な病院では進んでいるが、全体としてはまだまだだ。医師資格証の発行も日医会員でやっと1割弱だ。日本における電子化の整備はまだまだ途上だ。これを加速するにはどうするべきか。2016年度には、診療情報提供書や検査結果を電子的に作成して、送受すると加点する加点点数が診療報酬として追加された。日本では、遠隔医療や電子医療を普及させるには、診療報酬の加点が必要なのだろう。
(出典:日本医師会)
まとめ
医は仁術と頑張っている医師も多いだろう。しかし、医療全般では苦しい経営ということもあり、診療報酬に沿った対応が促進される。新型コロナのワクチン接種にも診療報酬が設定されている。例えば、東京都では、「 1日60回のワクチン接種で1日当たり17万5,000円支給(出典)」とある。ワクチンが一時期不足していたが、これは開業医がワクチン接種による診療報酬のために予想以上に動いたと言う可能性を棄却出来るのだろうか。メディアでは報道しないけど、医療の現場は算術ベースが目立つ気がする。逆に言えば、計算しやすい。遠隔医療による効率化で得られるメリットをきちんと医療現場にも診療報酬の加点という形でフィードバックすれば遠隔診療は予想以上に進展するのではないかと期待する。
以上
最後まで読んで頂きありがとうございます。
拝