Chuẩn an toàn thông tin y tế Nhật Bản
- 23/10/2020
- 1236
Dữ liệu y tế và sức khoẻ của mỗi cá nhân là một dạng dữ liệu quan trọng cần được bảo mật.
Tại Nhật Bản, người khám bệnh tại clinic hay bệnh viện thì không cầm kết quả khám hay xét nghiệm đi về mà hồ sơ bệnh án của mỗi bệnh nhân được cơ sở y tế chủ quản giữ và bảo vệ nghiêm ngặt.
Nếu để xảy ra việc lộ thông tin y tế, sức khoẻ của bệnh nhân và bị kiện, cơ sở y tế đó sẽ bị thiệt hại nặng nề về uy tín và tài chính.
Ở một đất nước mà dữ liệu cá nhân được coi trọng hơn mức cần thiết như Nhật Bản thì việc đảm bảo an toàn thông tin y tế sức khoẻ là một vấn đề lớn, quan trọng của mỗi cơ sở y tế.
THẾ NHƯNG…
Theo báo cáo của hiệp hội an ninh mạng Nhật Bản JNSA - Japan Network Security Association thì lĩnh vực y tế, sức khoẻ đứng TOP 3 trong tổng số 15 lĩnh vực có số lượng sự vụ liên quan đến an toàn thông tin cao nhất.
Theo đó, từ năm 2002 đến cuối năm 2018, lĩnh vực y tế, sức khoẻ để xảy ra 985 vụ, ảnh hưởng tới 1,9 triệu bệnh nhân trên cả nước. Trung bình, mỗi vụ ảnh hưởng tới 2000 người.
Ở Nhật Bản, thông tin sức khoẻ là thông tin hết sức nhạy cảm, nếu bị lộ ra ngoài sẽ ảnh hưởng nặng nề đến tâm lý người bệnh. Người bệnh sẽ liên tục liên lạc, yêu cầu bệnh viện đối ứng, xử lý vấn đề, kiện cáo ...làm ảnh hưởng nghiêm trọng đến hoạt động hàng ngày của bệnh viện và đội ngũ y tế.
NGUYÊN NHÂN GÂY LỘ THÔNG TIN
No |
Nguyên nhân |
Ví dụ về nguyên nhân |
Số sự vụ |
1 |
Thao tác nghiệp vụ sai |
gửi thư nhầm địa chỉ, liên lạc nhầm người bệnh |
252 (25.6%) |
2 |
Đãng trí, bỏ quên |
Quên hồ sơ, quên vật dụng chứa thông tin y tế |
205 (20.8%) |
3 |
Thiếu sót trong quản lý |
Thiếu sót trong process bảo quản, lưu trữ hồ sơ |
189 (19.2%) |
4 |
Bị đánh cắp |
Bị đối tượng khác lợi dung sơ hở lấy cắp USB, Computer, hồ sơ lưu trữ thông tin y tế |
175 (17.8%) |
5 |
Worm, Virus |
Bị nhiễm worm hay virus làm mất dữ liệu |
26 (2.6%) |
6 |
Hành vi cố ý nội bộ |
Trong nội bộ tổ chức có hành vị lấy dữ liệu |
15 (1.5%) |
7 |
Sử dụng sai mục đích |
Sử dụng dữ liệu mục đích ngoài phạm vi cho phép của cơ sở y tế |
9 (0.9%) |
8 |
Setting sai |
Setting quyền truy cập sai |
7 (0.7%) |
9 |
Truy cập trái phép |
truy cập vào hệ thống lưu trữ trái phép |
2 (0.2%) |
10 |
Bug và lỗ hổng Security |
Lợi dụng bug hệ thống, lỗ hổng security của phần mềm để tấn công |
1 (0.1%) |
11 |
Nguyên nhân khác |
Các nguyên nhân cháy nổ, thiên tai ... |
11 (1.1%) |
Có thể thấy đến hơn 90% số sự vụ bị lộ thông tin y tế là do tổ chức và con người vận hành hệ thống lưu trữ thông tin. Chỉ dưới 10% do lỗi từ hệ thống công nghệ thông tin và mạng gây ra.
TIÊU CHUẨN AN TOÀN THÔNG TIN Y TẾ, SỨC KHOẺ NHẬT BẢN
Một hệ thống lưu trữ, xử lý thông tin y tế, sức khoẻ nói chung phải đảm bảo được tíònidentiality(Availability), TOÀN VẸN (Integrity) và AN TOÀN (Confidentiality).
Các quốc gia phát triển đều có những chuẩn quy định chung về cho những yêu cầu trên như HIPPA của Mỹ, GDPR của Châu Âu hay bộ guideline của Nhật Bản.
Nhật Bản định nghĩa các tiêu chuẩn của một hệ thống thông tin y tế, sức khoẻ trong 3 bộ guideline được đưa ra bởi cơ quan 3 bộ là Bộ Lao Động, Phúc Lợi Xã Hội, Bộ Kinh Tế Công Nghiệp và Bộ Tổng Vụ.
Không bắt buộc nhưng một hệ thống được truyền thông là đã đảm bảo vận hành đầy đủ theo guideline của 3 bộ này thì chắc chắn sẽ được sự tin tưởng của người dùng
Guideline của Bộ Lao Động, Phúc Lợi Xã Hội nhắm vào những tiêu chuẩn đảm bảo an toàn thông tin đối với người vận hành hệ thống thông tin y tế (phía bệnh viện, phòng khám, cơ sở y tế).
Trong khi đó, 2 guideline của 2 Bộ còn lại nhắm đến các doanh nghiệp xây dựng, phát triển phần mềm thông tin y tế và sức khoẻ (Phía đơn vị cung cấp hệ thống thông tin y tế và phía xử lý thông tin y tế).
2 guideline này đang được họp bàn ghép lại thành 1 bộ guideline duy nhất và dự kiến ra mắt vào tháng 4/2021.
Dưới đây là bản Draft cho bộ guideline.
https://www.meti.go.jp/press/2020/08/20200821002/20200821002-3.pdf
Có thể có những thay đổi nhưng sẽ không nhiều nên các hệ thống y tế đang được xây dựng đã bám theo guideline mới nhất này để thực hiện.
Ominext đã có nhiều kinh nghiệm làm việc với các bộ guideline này thông qua các dự án y tế của Nhật Bản. Bộ guideline ban đầu cồng kềnh và quá nhiều quy đinh. Những năm 2015, Ominext đã soạn ra đến 400 đầu mục checklist cần thiết cho việc đảm bảo an toàn thông tin gút ra từ guideline. Ngày nay thì nhiều phần đã được lược bớt tăng tính thiết thực và cũng do sự thay đổi công nghệ trong hệ thống thông tin y tế hiện đại.