病院端末1300台がウィルス感染、診療にも影響及ぶ 67
ストーリー by mhatta
おっとろしいのう 部門より
おっとろしいのう 部門より
実は9月のニュースでした。見事に引っかかってしまい申し訳ない(mhatta Fri, 16 Nov 2007 00:33:31 +0900)時事ドットコムの記事によると、千葉大学付属病院で
11月9月5日早朝、女性職員が患者への説明資料を作成中に中国のサイトにアクセスしたところ、Delf.dyに感染してしまったという。病院システムに導入されていたウィルス対策ソフトウェアでは検出できなかったようで、その結果病院の情報システムを通じ、午前7時半までに院内のほぼすべて、1300台のクライアントとサーバにまで広まってしまったという。このため、処方箋の発行や会計などの業務にも影響が及んだそうだ。患者の個人情報の外部流出はないとのこと。
一体どんなサイトにアクセスして感染したのか、トロイの木馬がどうやって短時間でシステム全体に悪影響を及ぼしたのか、興味深いところ。
ウイルス対策ソフトでは対応できなかった (スコア:3, すばらしい洞察)
ウイルス対策ソフトとしてダメダメだったということになりませんか?
# …ていうか、パターンファイルを更新するように
# 設定されていなかったんじゃないか?
Re:ウイルス対策ソフトでは対応できなかった (スコア:3, 興味深い)
通常、病院はセンシティブな情報を扱うということで業務系はインターネットから切り離して運用することが多いんですけどねえ。
可能性として、
・初めは業務系とインターネット系が分かれていた
・ウイルス対策は月に1度パターンファイルをUSBメモリあたりで業務系サーバに落とす運用に決定、とか
・そしてその運用が形骸化
・先生方から不満続出
・情報担当、仕方なく業務系をインターネットに接続(病院に限らず「先生」と名の付く職業の方々は他の職業の方に比べ個性が強く情報系の担当者の立場が相対的に弱かったりする)
・結果こうなる
...と予想。
#完全に妄想ですよ妄想。そしてAC。
Re:ウイルス対策ソフトでは対応できなかった (スコア:4, 興味深い)
ただ、医療情報部という部署の考え方によりけりで(トップは多分医者)、
そこの先生ができる人で、予算をとってこれればちゃんとした
firewall と保守がはいっているでしょう。
また、切り離していても
医用画像や検査データを学会発表用に電子カルテやPACSから
抜き出す必要があり、USBメモリをつっこんだりしています。
そこから感染することもままあり。
その辺の情報管理もあいまいだし、担当者不在だったり
担当者はぜんぜんわかってなかったり。
正直、医療情報なんて汎用機でどこかで集中管理してもらって
現場には3270端末でもいいだろと思います。
画像も院内のPACSとどこかの計算機センターとつないで
管理してもらったほうが検査の重複などもなくていいと思います。
多くの現場において、医療情報を管理する能力はありません。
コンピュータのことを知っていることになっている医者が
「医学的に」という言葉で技術論を踏み潰して、まともなエンジニアは
やる気を失います。
3270端末(おふとぴ) (スコア:2, 興味深い)
3270端末には、ファンクションキーが24個もありますから、それぞれのキーに機能を割り振れば、医療事務の効率アップが見込めます。
汎用機のデータ・バックアップも、ガラス張りのマシン室内のオープンテープ装置で行えば、「ああ、仕事してるんだなあ」と、医療費用負担者も深く納得するとか。
# オープンテープはさておき、どこの病院でも端末が同じで医療事務の操作が標準化されているというのは、すごくいいアイデアかも。
Re:ウイルス対策ソフトでは対応できなかった (スコア:0)
しかし、元来の向学心の高さからか
矢鱈とアレゲな医者が居るのも事実ですな(個人的には開業医に多いような気もする)
……収入もあるんだろうしな
Re:ウイルス対策ソフトでは対応できなかった (スコア:0)
農家や漁師だって、事業者としては普通にん千万円ぐらいの収入はあるわけで。
雇われが少ないのはいずこも同じ。
Re:ウイルス対策ソフトでは対応できなかった (スコア:1)
年配の医師にバイトのギャラを言ったら、30年前と額面が一緒だと言われました。
しかも説明責任とか根拠に基づく医学とかもなく、やりっぱなし。肝炎ウィルスの件などは
当時の医師全員から費用を徴収したらどうかと思います。
Re:ウイルス対策ソフトでは対応できなかった (スコア:1)
すくなくとも+2ぐらいあげたい。
モデレート権あっても過去ストーリーにはつけられないのね。
儲かっているかといわれると時給換算にすると
研修医のときは「これだったらおれモスバーガーいったほうがいいよな」って
話をしていた。
開業医がうまくやればもうかるのは自営業が儲かれば儲かる、儲からなければ
借金だるまと同じ。
医師国家試験は普通の人は半年ぐらいそれだけのために
勉強して試験の準備をするのですよ。長い人だと1年かける。
中間や期末テストと一緒にされては困る。
そして、合格率っていうのは国がきめるんだ。何点以上で合格じゃなくて、
「国がほしい人数だけ」合格させる。
看護師なんか今年はほとんど100%近いんじゃないか?
歯科医はあふれてるからすごく合格率低い。これは彼らが勉強してない、という
理由からだけではないのは明らか。
社長はみんな儲かってるのか?雇われ社長はサラリーマンでたいしたことないし
自営業でも火の車だったりもする。開業医も同じ。
商売うまいところは儲かるし、まじめに職人気質なところはいい仕事しても
儲かってないところも多い。
良医は薬を最低限に、っていうのはあたってもいるしあたっていないこともある。
患者に望まれれば薬を出さざるをえないこともあるからね。
他の社会を知らないからこそ、医師やら弁護士やら教師やら、
特殊な業界でやっていけるという側面もあるのだよ。
あんなおかしい労働条件でやっていけるものではない。
昔は教師もぬるかったかもしれないが今はそうではない。
医師は医師を辞めることは少ないが(医者しかやったことがないからね)
業態を変える人はやまほどいる。
だから勤務医からどんどん逃げるんだよ。
開業したり産業医になったり検診専門になったり「自分にとって」負担の少ない科に
移ったりね。
だからといってそれが楽とは限らないのはどの業界も同じ。
トラックの運転手がタクシードライバーになったりするのと同じ。
その昔ベンツかわずに「自腹で」Sun3買ってEmacsLispで電子カルテを自分で作った
開業医の話を書いたつもりだったんだが、読んだ?
医療情報システムは金がかかる (スコア:3, 興味深い)
一方、厚生省は電子カルテまで一気に普及させたいんですね。
電子カルテまでいかないオーダリングシステムでも止まったら病院機能が麻痺してしまうシステムですが、きちんと運用体制を整えている(整えられる)医療機関はごく限られているかと思います。
いろいろメリットがあることがわかり始めているので導入も次第に進み始めてますけど、システムの満たすべき要件や運用体制などの(強制力の有る)ガイドラインが無いまま導入が進んでいるので、そのうち社会問題化しかねないとは思います。
十年程前、私が計画を立てたところでは、業務系と情報系は別系統のLANにてクライアントのOSはNTにしました。当時としては、かなりセキュリティと効率のバランスを考えた構成だと思うのですが、導入したパッケージの構造の根本的なセキュリティの欠陥を見つけてしまった・・・・。
それにドクターはなまじパソコンを使っているので、メディアを勝手に抜き差ししたりして大変でした。
Re:医療情報システムは金がかかる (スコア:5, 興味深い)
看護師をしてる母親&妹からの意見
・電子カルテ入力端末は直感的ではないため、現場の人間としては使いづらい
(ちなみに、ザ○ルス&PCらしい)
・紙ベースでの仕事をやってきたので、↑のように強く感じてしまう(曰く、思考のタイムラグがあるらしい)
・現場は時間との戦い。一々端末に入力するのが面倒くさい。
・そもそも端末の起動が遅い
・結局紙のカルテも書いているから二度手間
→電子カルテイラナイ( ゚д゚)、ペッ
Re:医療情報システムは金がかかる (スコア:2, 興味深い)
これが電子化の時に昔からよく壁になるポイントだと思います。
データーベース化さえしてあれば、よっぽどとんでもない構造でもない限り集計や検索は可能ですが、
表向きのユーザーインターフェースに関しては無頓着、まともな設計が可能な人も少ない、
ベタで作った入力フォームがあるからいいだろ的で何だこれってことが…。
データの構造よりも前段階のデータ入力でコケるって忌々しき問題のはずですが、
これもユーザーインターフェースを改良した所で収益が上がらないからでしょうか。
確かに上がりませんわ。
個人の能力と慣れの問題にされがちですし。
裏方ではないのに軽視されてるってひどいけど。
#そんな魔法あんのかよと言われれば、ある程度はありますよ。
#全部入れとか見た目重視じゃなくて作業フローとか思考のポイントで考えれば。
=-=-= The Inelegance(無粋な人) =-=-=
Re:医療情報システムは金がかかる (スコア:0)
それが一番良く分かるのは現場の作業者ですが、
システムや開発業者の選定、要件や仕様の策定にはなかなか関われません。
でハンコ握ってるおエライさんの意向に沿った「全部入れとか見た目重視」のシステムができあがります。
「システム導入の成果を学会で発表するからもっと画面カッコ良くして」とか。
Re:医療情報システムは金がかかる (スコア:1)
機械音痴ぐらいまでは守備すべき範囲ですが、
末端の開発レベルで機械アンチとか機械アレルギーの精神面まで対応するとかイヤですし。
現場レベルの意見を組むまでもないセオリーとかありますし。
で、見た目重視がとは言いましたが、本当は見た目も大事なんですよね。
最もアホなのは見た目も内容もひどい奴な訳で、それすら見繕う気も予算も納期もなかったのかよみたいな。
=-=-= The Inelegance(無粋な人) =-=-=
確か「ゴットハンド輝」という漫画で (スコア:0)
いや、まぁ、確かにソレが出来るなら一番なのだが……。
手術シミュレータとか自律判断の出来るAIペットロボットとか、この作者、ITに関してはシロートさんのようですが、まぁ少年誌だしね。
※1
※2
Re:確か「ゴットハンド輝」という漫画で (スコア:0)
そんなのが実現できる遠い未来じゃないと実用的な電子カルテなんて無理だって言いたいのでは?
言ってる事は判るけど… (スコア:4, すばらしい洞察)
予測される平均損害額を安く見積もりすぎているだけでは?
収益に直接結びつくからと言って、便所をつぶしてベッドルームを増やす病院がないのは、便所をつぶした場合の被害が甚大である事が判るからですよね?この手のセキュリティものも「便所と同じだ」と思うんですよ。
えぇ、なので皆さん、今後は口をそろえて啓蒙呪文を唱えましょう。
「ウィルスソフトは便所と一緒。
あっても嬉しくないけど、ないと困る。
しかも何でもいいんじゃなくて、
導入するならウォシュレット。」
fjの教祖様
リスクは想像力がないと見えない (スコア:2, 参考になる)
担当者が損害が起きうると対策を考えても、それを理解できる経営者が了承しなければリスク対策は行えません。
私の担当した病院では、以前書いたように大手SIerからの転職者(年上)は「ウィルスが発生したらネットからワクチンのお試し版をおろしてくればいい」といったり、経営者は2000年問題でシステムが止まったら会計ができないというと「ニチイに委託してるんだから人手を増やして残業させればいい」なんていうようなところでした。
開院した時から十数年たち、外来も倍以上増えているし、医療事務も複雑化していて、どれくらいの作業量が発生して対応できそうも無いことを説明してもです。
一回、自分が事故に遭わないと、なかなかリスクは実感できないので、こまめに事例を集めて原因・経過・結果・対策をまとめておくべきだとは思いました(が、それをやっても変わらなかった・・・)。
コスト管理とリスク管理できない人は管理職以上にはして欲しくない・・・・。
Re:リスクは想像力がないと見えない (スコア:1)
果たして正確に「リスク」を見積もる必要はあるだろうか??
別の言い方をしましょう。
便所が無い場合のリスクって、病院の経営者にちゃんと予測できるんでしょうか?
出来ないと思うんですけれど??
ただ、便所が無かった場合の被害を想像できるので『無いと困るよね』という一言が説得力を持っているだけでしょう??
セキュリティものが便所と一緒だ、というのはそういう意味なんですけれど??
正しいリスク計算より、説得力が大事。説得力は定量的・論理的事実以外にも持たせる方法はあるってこと。
# なお、すでにお判りのようにほとんどの人はこれができません。
# ゆえにただいまですと、私が1時間1億円ほどで説得方法を
# コンサルいたしますが… :p これで、説得力0がなんと
# 50% にまで向上いたします (^o^)。
fjの教祖様
Re:言ってる事は判るけど… (スコア:0)
当たらなければどうということはない
Re:言ってる事は判るけど… (スコア:3, おもしろおかしい)
>当たらなければどうということはない
当たったらどうしようもない
Re:言ってる事は判るけど… (スコア:0)
Re:医療情報システムは金がかかる (スコア:2, 参考になる)
だから、徐々に診療点数の構造を変えているわけです。次第に電子カルテやオーダエントリで
うまい運用ができていないと、レセで渋い点数しか取れない状態になるんじゃないかな。
今は地味な点数だけど、医療機関や業界が、これをネタに運用経験を積めるか
どうかが今後の分かれ道、と思ってます。
ガイドラインなんかは近年盛んになってきていますよ。
#業界の人なのでACただ、未だに"俺流"運用したがる人が多いのが現状です。
いくらガイドラインができようと、システムが実装しようと、現場にその意識がなきゃ無駄。
その点をシステム会社がコンサルをできるか、また病院側が意識を持てるか、が直近の課題。
Re:医療情報システムは金がかかる (スコア:2, 参考になる)
点数加算する、と言う物があります。
レセプトを受取る国保の業務負担軽減もありますが、レセプトの検査(不正請求や、点数計算のミスの発見)が容易になり
医療費の削減に繋がるという国のもくろみがあるのです。
9月のニュースです。 (スコア:3, 参考になる)
11月5日ではなく9月5日です。masakun氏の日記 [srad.jp]を見た時「何故今更」と思ったんですが、今月の出来事と勘違いしたんですね。というか時事ドットコムの記事のURI…。
とりあえず今日、千葉大付属病院へと検査に行ってきたんですが業務は通常に行われていました。前回は8月なので混乱している期間は見ていません。ただし、完全復旧かどうかまではわかりません (10/29時点ではまだだったらしい [hatena.ne.jp])。
古来より云われているように (スコア:2, おもしろおかしい)
Re:古来より云われているように (スコア:2, おもしろおかしい)
すごい深夜ですが (スコア:1)
Re:すごい深夜ですが (スコア:5, 参考になる)
文書書く暇ないんですよ。入院患者の診断書とかね。保険会社にだすやつ。
夜勤のついで、なんてことはありえないし、そもそも夜勤なんて言葉は
勤務医には存在しません。通常の勤務で7:00 - 23/24:00 なんてのはざらです。
当直って言うのは7:00 - 翌朝まで勤務してそのひも夜22時ぐらいまで勤務する、
40時間連続勤務程度の事を指します。
#ぼくの友人がいってたところは 6:00 - 26:00 でした。さすがにそこはきつそうだった。
Re:すごい深夜ですが (スコア:0)
Re:すごい深夜ですが (スコア:1)
事務負担をさげるという流れになってきています。が、うまくいくかどうかは別。
ちなみに患者向け説明書類が院内webにあるとこもあれば
いちいち手書きしてる人もいる
病気はひとによってみんなちがうし、同じものが使えるとは限らない。
説明の最終責任は医師にあります。
事務の人が作った書類が間違ってても当然医師の責任。
で、いままでないようなケースの医学的な説明文書なんて
主治医が自分で作るしかない。
診断書書くのは医師でないといけない。診断するのは医師だから。
病院の住所書いてもらったりとか、そのぐらいは事務にやって
もらえるかもしれないけどね。
診断内容は医師がかかなきゃならない。でもそれが
いつから発症したか、どういった原因か、どうなったか、
保険金詐欺なんてのもあるから、退院カルテめくって
思い出して、なので結構面倒なんだよ。紙に書いてあるのは3行ぐらい
だけどね。
患者にとって主治医は一人だけどしんどいとこだと内科医が一人で
20人近く診てるとこもあるんだ。平均在院日数19日として、
これで月に何枚の診断書を書かねばならないだろうね。
全員が保険会社に申請するしないはともかく、学校休むんだって
診断書いるでしょ。
退院後でないと診断書はかけない、入院患者の治療が優先
(書類書くより目の前の治療が先)、だからどんどん遅れる・
時間外に書くことになる。
PCになれた人が増えてくれば(30年後)変わると思うけどね。
電子カルテでちゃんと仕事できる環境(まともなソフトウェア)と、
ちゃんと使える人たちが大勢を占めればね。
この業界は30年ぐらい遅れているんだ。
情報公開 (スコア:1, すばらしい洞察)
確か日経コンピュータの最新号の (スコア:2, 興味深い)
今、手元に無いので明言できないけど、大学病院でウィルス感染のため業務に支障が!という内容でした。
記事ではトレンドマイクロ製品でしたよ。
抗菌仕様PCに変えないと! (スコア:1)
------------
惑星ケイロンまであと何マイル?
今すぐダウンロードを開始! (スコア:0)
これって使っても大丈夫なやつなのか?
定評あるツールを使いましょう (スコア:1)
今のところトップリンクですが、delf.dy が trojan (トロイの木馬)であることを示すためのリンクであって、そのページで紹介されているツールの安全性については保証いたしかねます。当たり前ですけど。
セキュリティホールmemo - 2007.11 [ryukoku.ac.jp]経由ウィルス感染の危機管理 - Okamura's Blog [mie-u.ac.jp]によると、
モデレータは基本役立たずなの気にしてないよ
Re:定評あるツールを使いましょう (スコア:0)
ここでは delf.dy とは違う名前が挙げられており、実際Web閲覧中に感染するおそれがあるのは delf.dy だけではないわけですから、
「delf.dy が検出できます」という触れ込みだけで、胡散臭そうなツールを試用しようとするのはいかがなものかと思います。
# 仕事中に片手間でコメントを書くのはやめよう
100歩譲ってWebアクセスが必要だとしても (スコア:0)
病院のシステムって、企業システムと同レベルかそれ以上にクリティカルな部分もあるだろうし
運用が大変なのはわかるけど、もう少し真面目にやって欲しいものだ
Re:100歩譲ってWebアクセスが必要だとしても (スコア:5, 参考になる)
まずいわゆる国立病院(国立病院機構)の病院では、システム管理者の選任を置くための経費は認められていません。
ちょっと詳しい放射線技師や検査技師、ひどいところは医師がそれに近いことをやっています。
せめてルータをいわゆるセキュリティールータにして欲しいのですが、それもなかなか何かの予算にこっそり紛れ込ませるしかないですし、
予算削減の折、見つかって削除されたりします。
業者も責任をとらせられては困るので、提案は非常に堅い案=高い案を提示することが多いように思います。
結局、これも採用されません。
一応、インターネット系と業務系は分けていることが多いのですが、正直、あちこちでウィルスが発生します。
はい、ほとんど医者(特に非常勤医)のUSBから感染した、としか思えない例が多いです。
まともな提案者と、決裁者がいる国立以外の病院では合理的な対応をしているところも見ますが
この2つの条件がそろうのは非常に厳しいです。
具体的に話を見たり聞いたりしている身なのでAC
Re:100歩譲ってWebアクセスが必要だとしても (スコア:1)
大変だなあ…白髪どころか抜けてませんか?
# というわけでACになってませんよ
Re:100歩譲ってWebアクセスが必要だとしても (スコア:1, すばらしい洞察)
病院とて例外ではありません。
※世間一般の認識なんていまだにそんなものです。
Re:100歩譲ってWebアクセスが必要だとしても (スコア:3, すばらしい洞察)
痛い目にあったことがあるか、
上がそういうのが好きか、
お金が余ってるか、っていうところだけ。
ねぎってねぎってねぎりまくって必要なものまで削って結局
使えないものが導入されて紙と計算機併用して逆に仕事が増える。
何か事故があったときにまずその当事者の責任にしかしない。
病院にはシステムが悪いという考え方は存在しません。
おそらくこの事例も「この人が中国のサイトにアクセスしたから!」
なんてことで手打ちになっていることでしょう。
Re:100歩譲ってWebアクセスが必要だとしても (スコア:0)
厳密にコストを評価ってのは不可能な業界だしね。特に日本では
ある意味ものすごい閉鎖的で世間知らずの(対等な交流がない)人たちの塊だから
世間一般の組織がやっている事をこの人たちに求めるのは不可能ではないかと。
Re:100歩譲ってWebアクセスが必要だとしても (スコア:0)
中国と云えば(オフトピ) (スコア:0)
Seagate HDDに混入のウイルス、ネットゲームを標的に
http://www.itmedia.co.jp/enterprise/articles/0711/14/news049.html [itmedia.co.jp]
論理フォーマットとブートセクタ書込みだけでも、ユーザー自身がやれって事なのかなぁ?
Re:中国と云えば(オフトピ) (スコア:0)
その収益構造自体が歪んでてかなりヤバいね。
USBメモリでも似たような騒ぎがあったし、そろそろマシな給与体系とかマジで考えた方がいいんじゃね?
合法サービスを装って悪用 (スコア:1, 興味深い)
不正侵入を試みている国はありませんが、これだけ人員やお金をかけて
やってるんですから、ネットワークゲームを使って諜報活動に乗り出しても
おかしくないかもしれませんね。
たとえば「無料で遊べるオンラインゲーム」とか韓国からよく入ってきますが、
そのノリで世界中のPCにインストールさせるように仕向けておいて、
インストールしたPCから情報を盗み出すと。
ネットワークゲームですからウィルス対策ソフトは排除できないし、
外部と通信をするものだから通信パターンで排除することも難しい。
考えてみれば、百度なんていうサービスを日本に無理に浸透させようというのは
国家的情報収集と考えても間違いないかもしれませんね。
例えばGoogleは、世界で最も脆弱性のあるノードの情報を持っている組織ですが、
百度はそれを狙っているという可能性もあります。
検索エンジンを装っておけば、堂々と脆弱性スキャンができますからね。
Re:合法サービスを装って悪用 (スコア:1)
百度のくだりはちょっと無理があるかなと。
外部から脆弱性のスキャンとなるとまずはポートスキャンの類をして、
特定のサービス(sshとか)のポートが開いていればそこにいろいろ
突っ込んでみるみたいなものだと思いますが、そんなことやったら
百度だろうとGoogleだろうとすぐに話題になってしまいますよ。
実際、百度(の日本法人)が強引なクロールした程度でおいおいって
話になって、サービス開始する前から百度の偉い人が謝罪する羽目に
なったということもありますし。
また、百度のサービス展開にしても、検索が提供されている程度で、
GoogleのDesktopSerchみたいなPC内の情報を得るようなものは全然ありません。
百度を使って脆弱性のあるノードの情報を国家的に収集している
みたいな見方は過大評価もいいところで、MMRの類の漫画の見すぎと
言われても仕方ありません。
システムの問題よりも (スコア:0)
どんな情報が資料に必要で中国のどんなサイトにアクセスしたのかのほうが気になります。
漢方関係?
Re:システムの問題よりも (スコア:1, 興味深い)
医学学術誌からそのままスキャンしたようなものが豊富だったりするので、正直「使いてぇ」と思うことも多い。
人体図参照中だそうです (スコア:2, 参考になる)
今回は人体図だったようです。
Medi+'ystem - フォーラム [opus-medi.co.jp]によると、
病院図書になら人体図の学術書くらいあるでしょうから、説明用に本のコピーでもとればこれほどの騒ぎにならなかったかもしれませんが、人体図の画像を拾ってくるサイトが悪かったみたいですね(違
記事にある「お祈りパンダ」ウィルスは中国国内で数百万台感染した [itmedia.co.jp]と報じられていましたから、アングラサイトに限らず、Web閲覧中にダウンロードされようとするサイトには気をつけろということですか。
モデレータは基本役立たずなの気にしてないよ