「なんでこんなにIT制限が厳しいの?」
医療機関や官公庁で働く人から、この疑問を何度も受けてきた。USBメモリが使えない。個人スマートフォンを繋げない。クラウドサービスが制限されている。特定のWebサイトが開かない——。制限の多さに不満を感じるのは当然だ。
でも情シス担当として20年以上の間、大企業・官公庁・医療機関の三つの環境を経験してきた立場から言わせてほしい。この制限には理由がある。そして制限の理由を理解すると、「どうすれば正しく解決できるか」が自然と見えてくる。
この記事でわかること
- 医療・官公庁のIT制限が特に厳しい3つの構造的な理由
- 制限に直面したときの正しい対処法と申請手順
- 情シス担当として現場で見てきた「制限を守らないと何が起きるか」のリアル
なぜ制限が厳しいのか
📌 要点:医療と官公庁のデータは、漏洩すると取り返しのつかない被害が出る。制限の厳しさはリスクの大きさに比例している。
理由①:扱うデータの性質が違う
医療機関が扱う患者情報は「要配慮個人情報」として法律で特別に保護されている。病名・治療内容・薬の処方履歴——これらが漏洩すると、患者本人への差別・プライバシーの侵害・保険詐欺への悪用など、取り返しのつかない被害が生じる。
官公庁が扱う情報も同様だ。住民情報・行政手続きの内容・機密性の高い政策情報が一度外部に出ると、修復できない社会的な被害になる。
民間企業のデータ漏洩も深刻だが、医療と行政のデータは「特定の個人の人生に直接影響する」という点で次元が違う。
理由②:法令による義務がある
医療機関には「医療情報システムの安全管理に関するガイドライン(厚生労働省)」という規制がある。電子カルテシステム・医療機器との連携・データの管理方法まで、細かい要件が定められている。
官公庁には「政府情報システムのセキュリティ要件策定マニュアル(デジタル庁)」などの指針がある。これらに違反すると、組織として法令違反になる可能性がある。
つまり、IT制限は「情シスが厳しくしている」のではなく、「法令を守るために必然的にそうなっている」側面が大きい。
理由③:攻撃対象になりやすい
医療機関や行政機関はランサムウェアの主要な攻撃対象だ。患者情報・住民情報を人質にすれば、身代金を支払う可能性が高いと攻撃者が判断するからだ。
実際に日本の病院や行政機関でのランサムウェア被害が複数報告されており、電子カルテが使えなくなって診療が停止するという事態も起きている。セキュリティの穴は一か所でいい——だから厳しく管理する必要がある。
医療・官公庁で特によく見る制限と、その理由
📌 要点:制限の理由を知ると「なぜダメか」が腑に落ちる。理由が分かれば、正規の代替手段も見えてくる。
USBメモリ禁止
個人のUSBメモリを会社PCに挿すことで、マルウェアが持ち込まれたり、患者情報・機密情報が外部に持ち出されたりするリスクがある。医療機関でのデータ漏洩事例の多くが、USBメモリの紛失・盗難によるものだという事実がある。
正規の代替手段:
- 情シスが管理する暗号化USBメモリ(組織が承認したもの)を使用する
- 組織が承認したクラウドストレージでデータを共有する
- 院内・庁内の共有サーバーを使用する
個人スマートフォンのBYOD禁止
個人スマートフォンを業務PCに繋いだり、院内・庁内のWi-Fiに接続したりすることは、多くの医療・行政機関で禁止されている。個人デバイスは組織が管理・検査できないため、マルウェア感染・情報漏洩の媒介になりうる。
正規の代替手段:
- 組織が管理する業務用スマートフォンの貸与を申請する
- データの共有は組織承認のメールや共有サーバー経由で行う
クラウドサービスの制限
GoogleドライブやDropboxなど一般のクラウドサービスへの患者情報・機密情報のアップロードは禁止されていることが多い。これらのサービスのデータが海外のサーバーに保存される場合があり、データの管理が及ばない状態になるからだ。
正規の代替手段:
- 組織が契約・管理しているクラウドサービス(Microsoft 365のSharePoint・OneDrive等)を使う
- 院内・庁内のファイルサーバーを使う
制限に直面したときの正しい対処
📌 要点:制限を回避しようとするのではなく、正規の申請ルートで解決する。回避行為のリスクは職を失うレベルになることがある。
まず情シスに相談する
「この制限がなければ業務がしやすいのに」という状況に気づいたら、まず情シスへ相談してほしい。
申請で解除できるケース、代替手段を案内できるケース、どうしても認められないケース——情シスはその判断ができる立場にある。相談もせずに制限を回避しようとするのが最もリスクが高い。
申請時に伝えるべき情報
① 何が制限されて困っているか(具体的に)
② 業務上どのような影響があるか
③ なぜその機能・サービスが必要か
④ 同じ目的で使える代替手段がないか自分で確認したか
⑤ 利用頻度・関係する人数・扱うデータの種類情シス担当として経験した中で、申請が通りやすかったのは「業務への影響が具体的・代替手段がない・セキュリティリスクへの配慮が見える」申請だ。
制限を守らないと何が起きるか
正直に言う。医療・官公庁での情シス担当として、制限を無視した行為の後始末に何度か関わった経験がある。
実際に起きたこと:
- 個人USBでの患者情報持ち出しが発覚→厚労省への報告義務・個人への処分
- 私物スマートフォンを院内Wi-Fiに繋いでマルウェアに感染→システム停止・調査費用
- 個人のGoogleドライブに診療データを保存→患者への謝罪・再発防止策の策定
「バレないからいいか」ではなく、バレたときの代償が個人としても組織としても非常に大きい。
電子カルテ・行政システムの固有の制約
📌 要点:電子カルテや行政システムは、セキュリティ要件のためにバージョンが古いまま・特定の操作しかできないことがある。これも意図的な設計だ。
医療機関や官公庁では、電子カルテシステム・行政システムが動作するPCのWindowsバージョンが古いままになっていることがある。「なんでこんな古いOSなの?」と思うかもしれないが、理由がある。
電子カルテシステムは医療機器(MRIや心電図モニターなど)とネットワーク接続されており、システム全体の動作保証がベンダーから得られているOSバージョンでのみ動作する。OSをアップデートするとシステムが動かなくなる可能性があるため、慎重に管理されている。
「なぜアップデートしないのか」の正直な答え:
- ベンダーの動作保証が古いバージョンでしか取れていない
- アップデートのテスト・検証に多大な費用と時間がかかる
- アップデート中にシステムが止まると診療・行政業務が止まる
この状況は情シスが好んでいるわけではなく、構造的な問題として認識されている。医療・行政ITのシステム老朽化問題は、業界全体の課題だ。
よくある質問
- Q電子カルテのPCがとても重い・動作が遅い。改善できない?
- A
電子カルテPCは医療機器認定・ベンダー保証の観点から、スペックや設定を勝手に変更できないことが多い。
症状を情シスへ報告することで、ベンダーへの問い合わせ・機器の交換計画に繋がる場合がある。
- Q院内・庁内のWi-Fiに個人スマホを繋いでいいか?
- A
多くの医療機関・官公庁では禁止されている。
セキュリティポリシーを確認するか、情シスへ確認しよう。来客用Wi-Fi(ゲストネットワーク)が別途用意されている場合は、そちらは個人デバイスで使えることがある。
- Q情シスへ制限の緩和を申請したが、理由も教えてもらえず却下された。どうすればいい?
- A
厚労省ガイドラインや行政のセキュリティ要件で「絶対に外せない制限」が存在することがある。
この場合は理由の開示が難しいケースもある。上長を通じた申請や、代替手段の提案という形で再度相談してみよう。
- Q制限が厳しすぎて業務効率が著しく下がっている。改善を提言するには?
- A
個人ではなく部署として「業務上の課題」として情シスへ提言するのが効果的だ。
「現在の制限によって、〇〇という業務に△△時間の追加負担が生じている」という具体的なデータを持って相談すると、情シスも改善の優先度を判断しやすくなる。
まとめ
- 制限の理由は「患者・住民のデータ保護」「法令遵守」「攻撃リスクの高さ」の三つ
- 制限は情シスが厳しくしているのではなく、法令・ガイドラインの要件から来ている
- 困ったらまず情シスへ相談:申請・代替手段の案内・例外措置の判断ができる
- 制限を回避しようとするリスクは非常に大きい:発覚すると個人・組織への処分が生じる
- 電子カルテ・行政システムの老朽化は構造的な問題:個々の情シスの問題ではない
- 業務効率の課題は部署として提言する:データを持って相談することで改善につながりやすい
制限に不満を感じる気持ちはわかる。でもその制限の多くは、患者・住民・社会を守るために必要なものだ。理由を知ったうえで、正規のルートで解決策を探してほしい。
関連記事
