病院あるある(4) – 共用PCの自動ログオン

電子カルテの共用PC。
電源を入れると Windows は自動ログオン、あとは電子カルテや部門システムに各自のIDでログインして使う──。
「アプリ側でちゃんと認証しているから大丈夫」と説明されることも多いのではないでしょうか。

ところが実際には、そのPCで Excel や Word の文書を作成し、Windows ファイル共有のサーバや NAS に保存しているケースが少なくありません。
その文書が診療録として評価される内容を含んでいる場合、「便利な共用PC運用」がそのまま法令上のリスクにつながってしまいます。

OSの自動ログオンと「診療録ファイル」のギャップ

よくある構成を整理すると、こんな状態になっています。

  • Windows デスクトップは 共用アカウントで自動ログオン
  • 電子カルテやオーダリングなどは、アプリ側で個人IDログイン
  • その同じPC上で、Excel/Word で文書を作成
  • 保存先は、院内の Windowsファイルサーバ/NAS の共有フォルダ

表向きは「カルテは個人IDで操作しているから大丈夫」に見えますが、診療録として扱われる可能性のあるファイルサーバ上のファイルについては、

  • 誰が作成したのか
  • 誰がいつ修正したのか
  • 無断で書き換えられていないか

を、OSやファイルサーバ側で個人レベルまで遡れない状態になっていることが多くあります。

電子保存の「真正性」と、情報セキュリティとしての機密性

医療情報システムの安全管理に関するガイドラインでは、
電子的に保存する診療録について 「真正性・見読性・保存性」 の三原則が求められます。

共用アカウントで Windows やファイルサーバを使っていると、特に問題になるのは真正性です。

  • 誰が作成したか
  • 誰がいつ修正したか
  • 不正な書き換えが行われていないか

といった点を、個人に紐づいて説明できない状態になりやすく、電子保存の三原則のうち「真正性」を満たせないおそれがあります。

一方で、共用PCのデスクトップや共有フォルダに診療情報を含むファイルが置かれていると、

  • その場にいれば誰でも開けてしまう
  • 悪意ある操作や、うっかり持ち出しのリスクが高い

といった意味で、情報セキュリティ上の「機密性」の問題も生じます。
こちらは電子保存三原則とは別枠ですが、要配慮個人情報の暴露につながりうる、大きなリスクです。

「アプリでは個人認証しているから大丈夫」という安心感の裏で、診療録ファイルの真正性も、個人情報の機密性も、性善説まかせになってしまっている──
そこがこの運用の本質的な課題です。

理想はユーザーごとのログオン、今は「次善策から」

本来めざすべきは、Windows デスクトップ自体も職員ごとのアカウントでログオンする環境にしていくことです。
そうすれば、ファイル操作も含めて「誰が何をしたか」を個人と紐づけて管理しやすくなります。

しかし、既存システムでは

  • 古いシステム構成や運用ルールが前提になっている
  • すべての端末をいきなり個人ログオンに切り替えるのが難しい

といった事情も多いはずです。
そのため、次のシステム更新や端末更新のタイミングでは「ユーザーごとのログオン」を前提条件として検討することをおすすめしつつ、現状では次のような「次善策」から着手するのが現実的です。

自動ログオン端末では「診療録を作らない・保管しない」

自動ログオンの共用PCは、

  • 病院情報システムのアプリへログインした上での操作
  • 簡易なメモや一時的な作業

に用途を限定し、診療録として扱う文書の作成には使わない

診療録相当の文書(サマリ、説明文書、経過記録など)を作るPCは、個人アカウントでのログオンが可能な環境を整備していく。

診療録ファイルを置く場所を決め、個人と紐づける

ファイルの所有者、編集者を紐づけられないファイルサーバ上に、診療録相当ファイルの 保管用フォルダ を決める
(閲覧専用フォルダと、編集できるフォルダを分けてもよい)

そのフォルダへ書き込みできるのは、個人アカウントでログオンしたユーザーからに限定する
(共用自動ログオンPCからは原則書き込み不可にする)

どうしても自動ログオンが必要な端末は「守備範囲」を絞る

共有PCからアクセスできるサーバ・フォルダを絞り、診療録ファイルの置き場には直接アクセスさせない

画面ロックの徹底(ICカードなどを使った簡便なロック)も組み合わせ、「席を立てば誰でも触れる端末」から少しでも距離を置く。

まとめ

起動が早くて誰でも使える共用PCは、現場にとって大きな助けです。
しかしその便利さの裏で、

  • 診療録ファイルの真正性が担保されないこと
  • 個人情報の機密性が低いまま放置されること

という、見過ごされがちなリスクが潜んでいます。

将来的には、デスクトップも含めて「ひとり1ログオン」の環境に近づけていくこと

その道のりの途中として、

  • 自動ログオン端末の役割を限定し、
  • 診療録ファイルの置き場とアクセス方法を整理すること

この2段階で考えることで、
性善説に頼りきりだった共用PC運用から、
「診療録の真正性」と「個人情報の機密性」を意識した運用へ、一歩ずつでも近づいていけます。

参考

厚生労働省:「医療機関向けセキュリティ教育支援ポータルサイト」

E-Learning 令和6年度コンテンツ

  • システム・セキュリティ管理者向け
    • Windows・Networkセキュリティ復習コース

E-Learning 令和7年度コンテンツ

  • システム・セキュリティ管理者向け
    • 岡山県精神科医療センター ランサムウェア事案調査報告書 読み解き  等