某所に投稿した内容、転載。
大阪急性期・総合医療センターへのサイバー攻撃の件で「バックアップは取ってあるが、使用できない」という?な報道の仕方がされました。
おそらく、これ、ガイドライン的にはバックアップになってないです。
医療情報システムの安全運用のガイドラインは今年の4月に厚労省から改訂版が出されています。
https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html
そこでは
『1.バックアップサーバ
システムが停止した場合でも、バックアップサーバと汎用的なブラウザ等を用いて、日常診療に必要な最低限の診療録等を見読できるようにすること。
2.見読性確保のための外部出力
システムが停止した場合でも、見読目的に該当する患者の一連の診療録等を汎用のブラウザ等で見読ができるように、見読性を確保した形式で外部ファイルへ出力できるようにすること。
3.遠隔地のデータバックアップを使用した見読機能
大規模火災等の災害対策として、遠隔地に電子保存記録をバックアップするとともに、そのバックアップデータ等と汎用的なブラウザ等を用いて、日常診療に必要な最低限の診療録等を見読できるようにすること。』
などの手法を取って、本システムが停止しても診療業務が継続できるような対応が推奨されています。
大阪の件では、(個人的に推測するに)バックアップの「データ」は取ってあっても、それを表示するようなシステムになってなかったものと思われます。
日本の SIer のダメな点だと思うのですが、下請け丸投げ方式では、システムの仕様は決められても、データ構造の詳細な設計やミドルウェアを経由しないデータ抽出方法の提供ができないんでしょうね。
開業医さん向けの電カルでも、ここら辺まで手が回っているのは、CLIUS と私のやつぐらいなものだと思います。
システムをオープン系で組んだ場合、DBは大抵、PostgreSQL か MySQL を使うので、データ構造がわかってれば、ミドルウェア・(システムの)クライアントを経由せずともデータの復号は可能なんですよ。
猪股弘明