こんにちは。GMOリザーブプラスの馬場です。
本シリーズでは、医療系エンジニアを目指す方向けに、複数回にわたって院内IT 環境について技術面から分かりやすくお伝えします。本シリーズを通して読むことで、エンジニアをはじめとした読者の皆様が、少しでも楽しみながらかかりつけ医に通っていただけると嬉しいです。
なお、本シリーズでは、基本的には大規模な病院ではなく、病床数の少ない、いわゆる小規模な診療所(クリニック)を対象とします。
前回のサカモトに聞くシリーズ その1 では、クリニック内にあるIT 機器についてご紹介しました。患者の利便性向上のための機器や、クリニックの経営にはなくてはならない機器など、クリニックには様々なIT 機器があります。
それらのIT 機器は、当然電源に繋がれているだけではあまり意味を成しません。例えば再来受付機は、患者の来院情報を電子カルテと連携し、予約をした患者が来院して受付をしたことを確認し、受付をした患者が呼び出しディスプレイに表示され、その患者の電子カルテ情報を医師が参照する、など、クリニック内の様々なIT 機器が相互に作用することによって初めて意味を成します。
ということで、それらIT 機器をつなぐネットワークはとても重要なのですが、実はそこに医療分野、特に小規模なクリニックでは限られた予算の中で一定のセキュリティレベルを確保するためにいろいろな工夫をしており、IT エンジニア的には正直かなり面食らう部分がありつつも興味深いため、本記事でご紹介します。
小規模なクリニックには、大きく分けて2 つのネットワークセグメントが存在します。1つがいわゆる一般的な院内端末用ネットワーク(ここでは院内LAN と呼びます)で、もう1つが電子カルテ用ネットワーク(ここでは電カルLAN と呼びます)です。もちろんこれは単なる一例であり、他にも医療画像管理(PACS)のためのネットワークセグメントを用意したりしますが、いずれにせよ大抵の場合は、電子カルテ用にセキュアなネットワークセグメントを別途用意します。
この2つのネットワークは主にセキュリティレベルが大きく異なります。
院内LAN にはスタッフ用PC、プリンタ、事務機器などが接続され、一定のセキュリティレベルが求められます。
電カルLAN には、1回目のサカモトに聞くシリーズでもお伝えした通り、患者データの単一信頼元であるところの電子カルテや診療報酬を正しく受け取るためのレセコンが接続されます。また、電子カルテと連携をするための再来受付機やレシートプリンタなどの連携機器も、電カルLAN に接続するか、もしくは一部ネットワーク的に足を出すことが多いです。
電子カルテの中には患者の個人情報や過去の診察履歴など、非常に高いセキュリティレベルが要求されるデータが保存されます。したがって、当然外部ネットワークからは迂闊にアクセスさせず、オンプレ構成で完全に院内に閉じた形で運用するか、もしくはほかのシステムと連携する場合は、院内LAN の連携に必要な機器からのみアクセスさせるように院内LAN と電カルLAN の間のルーターのアクセスコントロールリストやFW の設定をすることでリスクを最小限にします。
また、オンプレ版電子カルテが、インターネット側のクラウドサービスと通信しなければならない場合があります。例えばオンプレにある電子カルテの情報の一部をSaaS で提供される弊社のような予約システムと連携する場合や、保守作業のためにベンダーが電子カルテにアクセスする場合です。とくに後者では、実際に現地に行って保守作業をする場合もありますが、当然ながら日本各地に数多くのクリニックが存在し、エンジニアのリソースも限られていますので、リモートでの保守作業をすることが多いです。その際には当然インターネット側から直接クリニック内のネットワークには疎通できないので、TeamViewer や、国内メーカーであればインターコム社のLAPLINK を使うなどして電子カルテにアクセスすることが多いです。
ちなみに、LAN ではなくWAN の世界に目を向けると、小規模なクリニックでも、セキュリティ上の理由や、後述するオンライン資格確認システムへの対応などで、WAN 回線を複数持っている場合もあります。
なお、SaaS 版の電子カルテの場合は、電子カルテそのものはクラウド上にあるため院内に構築する必要はないですが、電カルLANに電子カルテ閲覧用PC を配置したり、オンプレにある受付システムなど他のコンポーネントとの連携のためのエージェントを入れたPC を配置したりします。
さて、先ほどのネットワーク図をもう一度見ますと、院内LAN と電カルLAN をつなぐルーターが2 つあり、一見して無駄なように見えます。つまり、この構成の場合、下図のように院内LAN と電カルLAN の間のルーターを1 つに統合すれば、院内LAN と電カルLAN のネットワークセグメントを分けつつ、構成もシンプルにできます。
ただし、実際にはルーターを2つ挟むことが多いです。これは、セキュリティ上の理由もありますが、院内LAN と電カルLAN の構成を担当する人が異なり、責任分界点を物理的に設ける方が何かと都合がよいという実務上の理由も大きいようです。
つまり、クリニックのネットワークを構成するにあたって、1つのクリニックの中でも、実際には様々な登場人物が出てきます。ベースとなる院内LAN 側の構成を担当する業者や、電カルLAN を担当する業者、さらにはそれら業者の指示通りに配線する実際の物理配線業者も異なります。そのような業務上の都合の中で、院内LAN と電カルLAN を1つのルーターで繋いでしまうと、そのルーターの設定をそれぞれの業者が把握し、トラブルがあった場合も共同で対処する必要が出てきます。そうするよりも、電カルLAN 側の担当者としては、導入する電子カルテの要件に沿った機器や設定を、ルーターも含めたネットワークセグメントごと責任を持ち、準備した方が楽なのです。このあたりの実際の作業の分担や登場人物については、かなり独特の文化が醸成されているため、次のサカモトに聞くシリーズでも取り上げたいと思います。
さて、院内LAN と電カルLAN の2つがメインと説明しましたが、昨今はもう少し複雑になりつつあります。それがマイナンバーカード対応(マイナ保険証) です。以下のような機器をクリニックで見たことがありますか?
これはマイナンバーカードのカードリーダーで、マイナンバーカードを置くと、顔認証などで本人確認を同時に実施し、オンライン資格確認システムに接続して照合・資格確認、マイナポータルなど様々なシステムとの連携などが行えます。ただし、当然マイナンバーカードのデータを外部に送信するため、それ相応のセキュリティレベルが求められます。特にネットワークのレイヤでは、指定事業者/回線の閉域網を利用したIP-VPN (フレッツ光ネクストなど)、またはインターネット回線を利用した指定業者のIPsec + IKE VPN サービスを利用する必要があります。なお、厳密にはマイナンバーカードを使ったオンライン資格確認を始めるにはレセプトのオンライン請求を始めるための回線導入が必須で、そのためにVPN 対応が必要となるという、やや込み入ったことになっています(参考: https://www.mhlw.go.jp/stf/newpage_24976.html)。
他にも、様々な機器が院内ネットワークに接続され、環境や規模によってはさらに複雑なネットワーク構成になるため上記はほんの一例ですが、なんとなくクリニックのネットワーク構成を理解いただけたでしょうか。
論理構成ばかりに目を取られますが、実は物理ネットワーク構成も興味深いです。
基本的に病床数の少ない小さなクリニックではL2 スイッチでVLAN を切るメリットが出てくるほど接続機器が多かったり構成が複雑になることはなく、普通にルーターレベルでネットワークセグメントを切る、比較的シンプルな構成がほとんどです。というより、そもそもL2 スイッチどころか家庭用のスイッチングハブを使うことが多く、ルーターもCisco などいわゆるエンタープライズ向け製品を使うのではなく、Buffalo など一般的な家庭用のネットワーク機器を使うことが多いです。もう少し規模が大きいクリニックや病院ではもちろんこの限りではありませんし、セキュリティやパフォーマンスを考慮すると、むしろそうあってはならないと思うのですが、予算や割り当てられる人的リソースが限られている以上、ある程度は仕方のない部分ではあります。
また、システムによっては共有フォルダのようなファイル共有システムが必要な場合があります。例えば予約システムと電子カルテを連携し、予約システム側に患者情報を同期することを「頭書き連携」と呼ぶのですが、この際にAPI ではなく、CSV ファイルベースで同期するケースが多く、その場合は共有フォルダにCSV を書き出し、コネクタを経由して予約システム側で取り込む、といったような連携をします。
そのようなケースでは、共有フォルダを使うコンポーネントがデプロイされているであろう院内LAN と、電子カルテのある電カルLAN 両方から共有フォルダにアクセスする必要があります。つまり、ある意味閉じた世界の電カルが、セキュリティレベルの相対的に低い院内LAN にアクセスする必要があり、予算が限られている小規模クリニックで、共有フォルダによる連携もしつつ、同時に一定のセキュリティも担保するというのはなかなか難しいところです。
共有フォルダで連携するケースの場合、1つは電カルLAN 側に共有フォルダが有効なWindows PC を用意し、共有フォルダへのアクセスコントロールを適切に実施することがあります。もしくは共有フォルダがあるWindows PC に対してUSB LAN アダプタを接続し、院内LAN と電カルLAN 両方に足を出し、両ネットワークからアクセスできるが、ルーティングはさせないという構成もとることがあります。
いずれにせよ、限られた予算の中で機能要件を満たしつつ、セキュリティのような非機能要件も同時に満足させるために、エンジニアは様々な工夫をしています。
また、実際の配線作業については、基本的に弊社のような個別のシステムを提供するベンダーではなく、ネットワーク業者が実施します。ただし、システムごとの特別なネットワーク要件がある場合も多いので、ネットワーク業者側とシステムのベンダー側との綿密な連携が必要になります。
サカモトに聞くシリーズ その2 では、クリニックのネットワーク構成についてご紹介しました。あまりなじみのない機器同士を、限られた予算の中で、いかにセキュリティを担保しながら繋げるか、なかなか難しくもありエンジニアの腕の見せ所です。
次回は、予約システム連携をテーマに、クリニックで作業しているエンジニアの業務をもう少し深堀していきます。