一昔前から国の政策により、IT化推進が進んでいます。古いものでは『e-japan重点計画』から始まり、現在では『デジタルガバナンス・コード』『世界最先端デジタル国家創造宣言・官民データ活用推進基本計画』等です。
それは医療業界も例外ではなく、どの医療機関でも電子カルテ、HIS,RIS、PACS等のデジタルデータを扱っているのではないでしょうか。
その反面、クリニックなどの小規模施設において、自然災害等に対する対策は十分になされていない場合も多々あります。
政府内でも、デジタルガバメント実行計画(令和元年12月20日)の中で
⇒項目3.4 情報セキュリティ対策・個人情報保護等(◎全府省)
1.情報セキュリティ対策
2.個人情報保護
3.業務継続性の確保
の3つの項目に触れられており、3の業務継続性の確保に関して、
『災害時に備えた非常用電源の確保、データのバックアップやバックアップセンターの整備など、非常時においても業務を継続するために必要な方策を 適切に講ずる。』
と記載されています。
そこで今回は災害による被害や災害対策について説明していきます。
施設で扱うデジタルデータの価値と災害への備え
現代社会においてほぼすべての情報はデジタル化されています。
例として
・経理・財務・事業計画・勤務体制・社員個人情報
・顧客(患者)情報
・技術・製品情報
等です。
また、これらのデータは施設のみならず、患者の財産(薬、画像、疾患情報等)でもあります。
災害やシステム障害の発生における業務停止した場合の影響は
・社会的信頼の失墜
・患者満足度の低下
・雇用喪失(採用見送り等)
等、広範囲に及びます。
そこで重要になるのが、災害によるシステム障害に備えて、活動を再開するまでの事業継続計画(BCP)、災害復旧(DR)を検討・策定しておくことです。
自施設で事業継続計画(BCP)、災害復旧(DR)を作成しよう!
たまに医療従事者なら自分が犠牲になっても助けろ!みたいなことをいう方(職員、患者問わず)もいますが、私個人としてはその考え方に賛同できません。なので、このセリフを施設の責任者が言った場合、私ならその職場をやめると思います。
前提として、職員の安全確保は必須です。そのうえで、災害時、災害後にとりあえずどこまで復旧するかを決めておく必要があります。
具体的には、
・目標復旧時間(RTO):どれくらいの時間で
・目標復旧レベル(RLO):どれくらいのレベルまで
・目標回復ポイント(RPO):どこまでデータ損失を許容するか
に関して、それぞれ設定、担当を決めておくべきです。
そうすることで、有事の際の職員の安全(避難時の迷いの払拭)にもつながります。
分かりにくいという方は下のスライドを参照してください。
災害におけるデータ損失の範囲と対応は?
ここで重要なことは、災害は大規模なもの(地震、津波等)のみではなく、火事(それに伴うスプリンクラーによる浸水)や大雨による浸水、水漏れなどでもデータ損失する可能性があるということです。では実際の災害におけるデータ損失の範囲と対応はどういうものになるのでしょうか?
図で示しますと、下のようなイメージになります。
さらに災害対策に関して、もう少し具体的に上げると、
災害発生時の体制整備
- 災害発生時の対応マニュアル作成
- 全体および各部署の管理責任者の選定
- バックアップでの運用方法および切り替え時間
災害発生時の行動指針
- 管理者不在時の対応
- 障害時の対処法の確立
- 例)クラウドから社内サーバ(もしくは逆)への切り替え等
- システムダウン時間の短縮
- 障害の切り分け
- →ハードウェア、ソフトウェア、ネットワーク
物理的な対策
- サーバ設置場所の変更
- 高い階層に設置 ⇒浸水
- サーバ本体を強固なケース(不燃性)に設置 ⇒火災、建物倒壊
- システムダウン時間の短縮、障害の切り分け
- 複数サーバ ⇒別々の場所に設置、クラウドと社内サーバ
- 持ち運び可能なサーバアクセス用PC
- 予備のハードウェア(LANケーブル、Hub等)
以上の3つとなります。
そして実際の災害では、
・器物系の被害
サーバPC、クライアントPCやケーブル等の破損等
・通信系の被害
ケーブル破損、ネットワーク回線の破損もしくは混雑等
対策:サーバ、クライアント、ケーブル等の予備を用意
社外(クラウドサーバ)、社内両方にデータを保管
等が考えられますので、このあたりに重点を置いて、上記3つ(管理体制、行動指針、物理的な対策)を作成しておきましょう。
災害に強いシステム構成(データバックアップ)について
ここからは最も重要なデータバックアップについて説明していきます。
基本となる「3-2-1ルール」について説明します。
・データはコピーして3つ持つ
⇒本体+複製2つ
・2種類以上の媒体にデータを保存する
⇒HDDとSSD等
・バックアップの1つは遠隔地で保存する
⇒クラウド等
それぞれの数字から3-2-1ルールと呼ばれています。
わかりにくい方は以下図を参照してください。わかっている方は飛ばしてください。
ここから実際のシステム構築について説明していきますが、システム構築には施設間で大きな差があります。その理由として
・施設経営陣の危機管理意識
・金銭面の問題
・人材面の問題等
ですが、ここで大切なことは、とりあえずできることをしていくということです。
では、実際どのような感じで構成していくかを図で示していきます。
以上を参考に、各施設で可能な範囲でバックアップを行なってもらえればよいと思います。
災害対策はしっかりしておこう!
最近の情勢で忘れられがちですが、災害が身近な日本において、その対策は重要となっています。そのためにもデータ保全に関する最低限の知識を身に着け、適切なシステム構築、管理を予算、環境の兼ね合い等も考え、可能な範囲で行いましょう。
コメント