「オンライン診療」が急速にトレンドワードになってきた。新型コロナウイルスへの対応を検討する新型コロナウイルス感染症対策専門家会議は、「新型コロナウイルス感染症対策の状況分析・提言」（2020 年4月 22 日）を公表し、「人との接触機会の8割の削減」という目標に対してより一層の努力を求めた。同時に、人との接触を8割減らすための「10のポイント」を示した。その中の1つが、「診療は遠隔診療」である。ITを活用して医療機関に赴くことなくオンラインでの診療を国として推奨するようになったのだ。

▼厚生労働省「新型コロナウイルス感染症対策の状況分析・提言」（2020年4月22日）より

10のポイントの公表に先立つ4月10日に、厚生労働省は「新型コロナウイルス感染症の拡大に際しての電話や情報通信機器を用いた診療等の時限的・特例的な取扱いについて」という事務連絡を行った。これは時限的な取り扱いとしながら、初診からの電話や情報通信機器を用いた診療の実施を認めるものだ。すなわち、オンライン診療が一定の条件を満たせば初診から可能になり、その上で医療機関に赴かずに遠隔から診療する行為が推奨されるように急速に状況が変化してきたのである。

▼厚生労働省「新型コロナウイルス感染症の感染拡大を踏まえたオンライン診療について」より

新型コロナウイルスの感染拡大や、それに伴う医療崩壊を防ぐためには、人と人の接触を減らすことが求められる。こうした状況では、慢性疾患などで定期的に受診が必要な人が医療機関に赴くことも人の接触機会を増やすことにつながってしまう。万が一でも、感染していながら症状が出ていない人が受診したことで、院内感染につながるようなことは避けたい。これまではなかなか普及しなかったオンライン診療を活用することで、接触の機会を減らしながら適切な診察や投薬が可能になれば、感染拡大の対策としても効果が期待できる。

オンライン診療のセキュリティは大丈夫？

オンライン診療が推進されること自体は、新型コロナウイルスの感染拡大を防ぐことが最優先される今の潮流として医療関係者にも患者にとっても受け入れられることだろ。しかし、オンライン診療を実際の医療現場で実現するとなると、様々な課題がある。医療機関や薬局などの経営コンサルティングを手掛けるアムズ・メディカル・コンサルティング代表で薬剤師の伊藤俊彦氏（セキュアIoTプラットフォーム協議会 学術会員）はこう指摘する。「オンライン診療は2年ほど前からシステムの利用が少しずつ広がってきた。しかし、システムの使い勝手や、医療機関だけでなく患者側のITスキルも要求され、活用は必ずしも進んでいなかった。その上、医療機関では診療行為を重要視するあまり、それ以外の要素を簡便にする傾向がある。そこで最も問題になるのがセキュリティだ」。

医療情報は命に関わるものであり、セキュリティが重要な要素であることは間違いない。厚生労働省は「オンライン診療の適切な実施に関する指針」で、医療情報システムのセキュリティに対して適切な措置や適切な監督を行わなければならないと記している。遠隔医療学会の講習やセミナーでもセキュリティに対する教育項目はある。とは言うものの、オンライン診療を実施するための施策の全体からすると、セキュリティが占める割合は低いと認識されがちであり、「実際にはセキュリティは後回しにされる傾向にある」と伊藤氏は説明する。

それでは、オンライン診療ではどのようなセキュリティリスクがあるのだろうか。代表的なリスクとして、「なりすまし」「情報漏洩」を考えてみる。

伊藤氏は、「直接、医師と患者が対面できないオンライン診療では、なりすましのリスクが高くなる」と指摘する。その1つが、病院や医師になりすました第三者のサイトに誘導されて、診療を受けているつもりで患者の情報が窃取されてしまうというトラブルだ。逆に、患者になりすました第三者が、睡眠導入剤や向精神薬などの処方を受けて違法に薬物を入手、転売するといったリスクも考えられる。顔なじみの医師と患者の関係ならば簡単にはなりすましはできないだろうが、初診でのオンライン診療が可能になると、医療機関にとっても患者にとってもなりすましのリスクは確実に高まる。

情報漏洩のリスクも高い。なりすましの結果として情報が窃取される危険性があるたけでなく、ITシステムを介在させるオンライン診療ではサイバー攻撃の危険性にも注意が必要だ。医療機関、患者ともに通信する端末を利用するため、コンピューターウイルスなどのマルウエアの感染による情報漏洩のリスクが高まる。また通信回線やデータを保存するサーバーやデータセンターなどのセキュリティにも十分な注意を払わなければならない。そうしたITの視点だけでなく、カメラ映像で医療機関と患者宅を双方向に「のぞき見」できるようになることで、背景に映る画像から医療機関では薬品の保管状況や他の患者の情報、個人宅では資産状況や間取りなどの情報が流出するリスクも高まる。

伊藤氏は「これまでは症例が少ないから大きな問題にならなかったが、オンライン診療が広がりを見せるようになると必ず問題になる。システムにセキュリティを担保できる仕組みを入れ込む必要性が高まっていく」と語る。

セキュリティ対策と医療への専念をシステムで両立

オンライン診療についての代表的なリスクを考えただけでも、多方面にセキュリティ対策を施さなければならない。IoT機器およびサービスに対する安心・安全な新社会基盤の創出を目的とする業界団体であるセキュアIoTプラットフォーム（SIOTP）協議会で主席研究員を務める松本義和氏は、「オンライン診療についてのセキュリティ対策の考え方は、第1版が2005年に発行された厚生労働省の『医療情報システムの安全管理に関するガイドライン』で示されてきた。しかし、認知はまだ低いレベルにとどまっている」と指摘する。同ガイドラインは第5版（2017年）へと版を重ね、医療情報システムのセキュリティ対策についての徹底を求めている。「罰則規定はないものの、厚生労働大臣による監査の手引になることから、強制力があると考えられる」（松本氏）。

その中で、セキュリティ対策の対象となるシステムとしては、医療機関のレセプト作成用コンピューターや電子カルテ、オーダリングシステムなどの医療事務や診療を支援するシステムだけでなく、患者の情報を保有するコンピューターや遠隔で患者の情報を閲覧・取得するコンピューターおよび携帯端末も範疇に想定されている。さらに、患者情報を通信する院内や院外のネットワークも対象に含まれる。

これらについて、松本氏は「末端規則という考え方が適用される。終端にある端末の責任でセキュリティ対策を施すというものだ。この規則では、医療機関のコンピューターなどは医療機関の責任になるが、患者の端末のセキュリティ対策は本来ならば患者の責任であり、ネットワークから情報漏洩したら通信事業者が、システムの問題であればシステム提供事業者がそれぞれ責任を持つ。すべての責任を医療機関や医師が責任を持つということでない」と説明する。

実際にはオンライン診療システムで患者の使うパソコンやタブレット端末などのセキュリティ対策を患者に委ねることは難しい側面もあるが、医師がオンライン診療のセキュリティ対策に全責任を持つ必要はないと考えられる。それでは、どのようにセキュリティ対策を施していけば、安心・安全なオンライン診療ができるのだろうか。伊藤氏は、「ガイドラインの遵守を訴えかけても、実際に安心・安全なオンライン診療の環境を整えることは難しいのではないか。そこで求められるのが、セキュリティ対策の仕組みをシステムに組み込んでしまい、そのシステムを使わないとオンライン診療ができないようにすること」だと訴える。

なりすましを防ぐための医師や患者のリアルタイム本人認証の仕組みや、サイバー攻撃に対する防御、ネットワーク上からの情報漏洩対策などを、個別の医療機関がガイドラインに準拠するように対応するのではなく、一般的なオンライン診療システムに組み込んでしまうという考えだ。医療機関や医師は、セキュリティ対策についての負担を減らして安心・安全なオンライン診療ができるようになる。患者側もセキュリティ対策を組み込んだシステムを介して、なりすましなどが起きない形で医療機関にアクセスできるようになる。

初診からのオンライン診療が時限的とはいえ認められるようになった今だからこそ、オンライン診療のセキュリティ対策について、迅速に具体的な取り組みを推進する必要が高まっている。医療関係者だけでなく、システムやネットワークを提供する事業者も患者になりうる私たちも含めて、オンライン診療のセキュリティ対策について方策を考えていく必要がある。