ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第60回 医療機関の情報管理とは
「情報を制する者はビジネスを制する」などの言葉もあるように、「情報」はどのような業界でも重要です。もちろん医療の現場においても「情報」は非常に重要です。ご存じのとおり、医療機関は人の生命に関わることが多い場所であり、一般の企業とは違う倫理性や倫理観が求められます。また、人の命に勝るものはないとの考え方から、医療機関の経営は二の次と考える傾向も少なからずあります。しかし、医療機関を経営させていくには、やはりお金は必要です。一般の企業と同様に利益を出さなくては、医療機関の存続はあり得ません。
それを確認するための経営指標(以下指標)として医事統計というものがあります。その指標数値を確認しながら医療機関のさまざまな経営に関する意思決定を行うことになります。継続的に改善を続け、医療機関の提供する医療の質や利益を向上させて、医療機関の強化に活用することが、医事統計の本来の目的です。医事統計は医療機関それぞれの工夫によって作成されていますが、おおよそ次の項目が網羅されている統計資料です。
患者統計:1日平均患者数(外来/入院)、(外来/入院)日当点、新患患者率、病床利用率、平均在院日数、病床回転率、など
一つの統計資料に関して、さまざまな角度から確認できるように指標が設定されています。上記の患者統計以外に、収益統計、収益対費用統計、財務分析(原価計算含む)、生産性統計、などの統計種類があり、それぞれの統計に同じようにさまざまな指標が確認できるようになっています。
毎月このように非常に多くの統計資料を作成し、確認していくことは非常に大変な作業になります。片手間ではなかなかできない作業内容です。すると、報告書を作成し経営層に提出することで達成感を得てしまうことがあります。しかしこれではいけません。あくまでも目的は医療機関の経営改善につなげることですので、報告書の作成、提出はスタートと認識すべきです。
医療機関の情報とは、数値だけではありません。患者、職員などの個人情報も身の回りにあふれている環境です。特に患者の情報は、その患者個人の医療に関する情報なので、個人情報のなかでも特に取り扱いに気をつけなければいけない情報(センシティブ情報)になります。
2005年に個人情報保護法も施行され患者情報を適正に管理していくことも義務付けられ、医療機関は十分に注意しなければならない点です。
(個人情報とは)
個人を特定できる情報のこと。顔写真、氏名、生年月日など。一つの情報では個人を特定できなくても、複数の情報が得られれば個人を特定できる場合も含む。
(個人情報保護法)
個人情報を個人の承諾なしで入手することや承諾を得た目的以外で活用することを禁止。承諾を得て入手した個人情報を、個人の了解なしに第三者に提供することを禁止。
医療機関としては、以下の項目は最低限遵守する必要があります。
- (個人情報の)利用、取得に関して、利用目的を特定し、その目的以外に利用しない。
※医師が学会発表などに、個人情報を利用する場合が多くあります。事前に承諾を得ておくか、個人が特定されないように加工、工夫が必要です。
- 安全管理に関しては、安全管理施策を実施しなければならない(組織的、人的、物理的、技術的など)。
※電子カルテの管理が特にポイントです。閲覧制限機能なども一つの手段です。
- (個人の情報の)第三者提供に関して、本人の同意なしで個人の情報を提供してはいけません。
※例外規定として、大規模災害時などで緊急搬送された患者の情報は、「人の生命・身体または財産の保護に必要で、本人の同意を得ることが困難な場合」に該当し、本人の同意なしで第三者に情報を提供できます。
- 情報開示、請求等への対応については、本人から求められた場合には、個人情報の開示、訂正、利用等について本人は請求する権利はあります。ただし、実行するかどうかの判断はあくまでも医療機関側にあります。
詳細は、厚生労働省から「医療・介護関係事業者における 個人情報の適切な取扱いのためのガイドライン」が出ています。また、電子カルテと個人情報についても「電子カルテの個人情報保護対応要件」が出ていますので参照してください。
情報社会である現在、医療機関が持つ情報は組織にとって重要な資産です。この情報資産は、常に外部からの脅威にさらされています。皆さんはその危機認識はありますか?医療機関従事者は、認識が低い方が多い気がします。災害、システムのクラッシュ、外部からの不正アクセス、ウイルス感染などの脅威から情報を守る対策(情報セキュリティマネジメント)を立てる必要があります。
情報資産を守る3つのPOINT
- 情報の機密性
アクセスを許可された者だけがアクセスできることを確実にすること
- 情報の完全性
情報および処理方法が、正確であり、完全であることを保護すること
- 情報の可用性
許可された利用者が、必要な時に、情報及び関連資産にアクセスできること
マネジメントレベルを評価する規格としてISMS(Information Security Management System)があります。Pマークもありますが、Pマークは個人情報のみが対象になっているので、ISMSのほうがより広範囲にわたって情報管理の確立を求めています。ISMSの取得にチャレンジすることも良いと思います。
皆さんは、どう思いますか?
次回は12月14日(水)更新予定です。
前の記事を読む