Windowsログオンを「医療情報システムの認証」と読み替える病院が生まれる理由 – ガイドラインの「穴」と現場の「限界」が作り出す、避けがたい現実

みなさん、こんにちは。

それは、あるSNSの投稿がきっかけでした。

看護長が退職され、アカウントの停止処理をしたら即日病棟から鬼電きて「システムが使えなくなった」⇒へ?ってなってみたら皆看護長のアカウントで作業していた・・・どういうこと?

内容としては、ユーザー認証に看護師長のWindowsアカウントを共用していたため、師長の退職とともにWindowsにログオンできず、業務が止まってしまったという話です。

多くのITプロフェッショナルは、「なぜ共通アカウントなんてリスクの高い運用をしているんだ?」と驚かれたことでしょう。実際、批判の投稿が多くありました。

しかし、医療現場の事情を知る人なら、「ああ、そういうことか」と納得してしまう部分があるのではないでしょうか。

今回は、この奇妙な運用がなぜ必要とされ、なぜ監査まで通ってしまうのか、その構造を整理してみたいと思います。

 

 

ガイドラインの「最低限」は「ユーザー認証」まで

 

厚労省の「医療情報システムの安全管理に関するガイドライン 第6.0版」では、医療機関に対してシステムの利用時に「利用者の識別・認証」を求めています。

しかし、ガイドラインの「最低限遵守すべき事項」を読み解くと、重要な点が見えてきます。

最低限のガイドライン

 

単純に解釈すると、求められているのは以下の3点です。

  • 利用者の識別・認証
  • ID+パスワードの管理
  • 離席時の画面ロック(クリアスクリーン)

ここで重要なのは、操作ログの取得が「最低限」には含まれていないという点です。つまり、文字通りに読めば「IDとパスワードで認証さえしていれば、最低限の要件は満たしている」と解釈できてしまうのです。この「穴」が、後述する運用の温床になります。

 

 

現場のシステムには「ログイン機能」がないものも多い

 

特に精神科単科や慢性期病院では、看護支援システムが以下のような構造で動いているケースが少なくありません。

  • PCにインストールされたスタンドアロンアプリ
  • アプリ起動時の認証機能(ログイン画面)がない
  • 記録者フィールドや操作ログの仕組みがない

つまり、システム側に「認証」という概念そのものが存在しないのです。ガイドラインは「認証」を求めているのに、肝心のシステムにその機能がない。この矛盾が現場を悩ませます。

 

 

Windowsログオンを「認証」として読み替える

 

アプリに機能がない以上、病院側はこう考えることになります。

  1. ガイドラインは「認証しろ」と言っている
  2. アプリには認証機能がない
  3. しかし、WindowsログオンにはIDとパスワードがある
  4. なら、Windowsログオンを「医療情報システムの認証」とみなせばよいのでは?

これは誤解ではなく、意図的な「読み替え」です。そして実際、書類上は「IDとパスワードでログインしています」「離席時はロックしています」と説明できてしまうため、監査官がアプリの実装詳細まで確認しない限り、これで通ってしまいます。

 

 

「ログオンの遅さ」が招く共通アカウントの破綻

 

しかし、ここで「ログオンの重さ」という実務上の壁にぶつかります。

現場からは「ログオンが遅すぎる」「1日に何度もログオンし直すのは無理」という悲鳴が上がります。その結果、「一番権限のある看護師長のアカウントをみんなで使い回すのが現実的だ」という、冒頭の投稿のような事態を招くのです。

共通アカウントでは「利用者の識別」ができません。そこで現場はさらに苦し紛れの工夫をします。

 

 

「1日1回ログオン+ユーザー切り替え」という「現実解」

 

元々の投稿者が暗に示していたのは、おそらく以下のような運用だったのではないでしょうか。

  • 朝だけ自分のWindowsアカウントでログオンする(重い処理は1日1回だけ)
  • 以降はログオフせず、離席時は画面ロック
  • 戻ってきたら「ユーザー切り替え」で自分のIDに戻る

これなら共通アカウントを使わず、形式上は「個人IDで認証している」というガイドラインの「文言」だけは満たせます。これが、現場がたどり着く「最もマシな妥協点」なのです。

 

 

「意図」と「形式」の大きな乖離

 

もちろん、この運用ではガイドラインが本来意図している以下の目的は果たせません。

  • 誰が何をしたか追跡できること(トレーサビリティ)
  • 電子的記録の信頼性を担保すること
  • 退職者のアカウント停止で業務が止まらないこと

Windowsログオンを認証の代わりにしても、アプリ側の操作ログは取れず、誰が記録したかも特定できません。つまり、ガイドラインの「意図」は完全に無視されている状態です。

それでも監査が通ってしまうのは、保健所の監査が書類中心であり、監査官も医療ITの専門家ではないことが多いためです。「文言さえ満たせば突破できる」というのが現実の監査の姿でもあります。

 

 

現場の制約の中では、避けがたい現実でもある

 

ここまで見てきたように、Windowsログオンを認証として扱う運用は、理想から見れば不完全な「擬似コンプライアンス」です。

しかし、これは現場の怠慢ではなく、構造的に避けがたい状況の結果でもあります。

  • アプリ側に機能がなく、ベンダーも小規模で改修が困難
  • 病院のIT予算が限られている
  • 現場のワークフローがログオンの手間に耐えられない

こうした条件が重なると、この「歪んだ運用」以外に選択肢がない病院が生まれてしまいます。

この矛盾は、全国の医療情報担当者が長年抱えてきた「構造的な悩み」そのものです。この状況がすぐには解決しないことを理解した上で、現場の事情を尊重しつつ、少しずつ改善の糸口を探っていくことが求められているのではないでしょうか。

 

本日も最後までお読みいただきありがとうございました。

それでは、よい医療情報管理を!

関連投稿

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

上部へスクロール