大まかに、こんな感じで書きました。
問題文に沿って書きましたので、論点が大きくずれていることはないと思います。
今回はITストラテジストというよりは、システム監査技術者試験に近い問題だっような気がするのは、私だけでしょうかね。
----------------------------------------------------------------------------
第1章 対象としたサービスと個別システムの概要について
1-1 対象としたサービス
私は地方にある総合病院(以下、当院という)に所属するITストラテジストである。病床数は400病床、1日あたりの外来患者数は800人、診療科数は25である。当院は入院にも対応していることから、24時間365日の継続した医療サービスを提供しており、これが事業特性である。サービスが停止すると、医療がストップし、患者の生命を危機にさらすことがある。そのため、停止しないサービスが必要となる。
1-2 個別システムの概要について
当院の医療サービスに対応するシステムとして電子カルテがある。電子カルテは、2015年10月から7年間稼働して、2022年9月に保守契約が終了する。そこで2022年10月にシステムリプレイスが行われるが、それに合わせて停止しないサービスを課題として、システムリスク対応方針を立案することにした。
目標としては、サービスを停止させないための電子カルテの許容される停止時間を30分とした。
----------------------------------------------------------------------------
第2章 立案したシステムリスク対応方針について
2-1 インシデントとインパクト
まず、私はサービスが停止するな可能性のあるインシデントについて洗い上げた。1つ目は、サーバー攻撃によるシステム停止である。最近、ランサムウェアによる身代金による攻撃でシステムが利用できなくなった。2つ目は、職員のセキュリティリテラシーの低さによるセキュリティ事故の発生によるシステム停止。3つ目は、ハードウェア故障などシステム障害によるもの。これを行うにあたっては、当院と同じ系列で成功事例のあるX病院のITストラテジストの協力を得ながら進めたことが工夫した点である。
それによるインパクトは、社会に与えるインパクトは地域の中核病院を担っている当院に対する信頼失墜、経営に与えるインパクトは信用失墜による患者の減少、さらにはそれが病院経営が成立しなくなること。
2-2 予防策と発生時対策
予防策は。外部からのアクセスに対する認可の厳格化、職員に対するセキュリティ教育の実施、システムの冗長化である。工夫した点は、(書いたが忘れてしまった)。
発生時対策は、セキュリティ事故発生時の連絡体制の明確化、障害訓練の実施である。
工夫した点は、(書いたが忘れてしまった)。
以上の予防策と発生時対策が立案したシステムリスク対応方針である。
----------------------------------------------------------------------------
第3章 事業部門と経営層に提案したことと指摘を受けて改善をしたことについて
3-1 事業部門と経営層に提案したこと
事業部門は、外来部、入院部とIT部である。
先日の経営会議では、システムリスク対応方針に関しては、施策の準備とプロジェクト体制と費用について説明した。施策の準備として・・・・・・。プロジェクト体制として、アクセスに対する認可の厳格化はIT部、セキュリティ教育は外部のセキュリティ専門家の支援を仰ぎながら外来部と入院部が、システムの冗長化はIT部が担当する。
費用は10百万円であり、当院の予算規約の範囲内である。
3-2 指摘を受けて改善をしたこと
経営層からは、他病院での実績をもとに提案していることから実現可能性が高いとおおむね好評価であった。
しかし、入院部、外来部からは、プロジェクトに参加することで、医師の負荷がさらに大きくなるとの指摘があった。
この点について、私は、医師の事務所にの負担を軽減するため、事務補助員に事務代行することで事務部と調整ながら改善することで、採取的に事業部門と経営層からの承認を得ることができた。
ー 以上 ー