ヘルスケアITでは、アクセス制御をバイパスするための「ブレークグラス」モードが一般的に必要ですか?
文献で言及されているように、医療ITアプリケーションで「ブレークグラス」モードを使用する必要があることを確認しました。このモードでは、ユーザーが画像データにアクセスすることが重要である緊急時に、アプリケーションのアクセス制御をバイパスできます。通常、ファシリティには、事後のモードの使用を正当化するための何らかのポリシーが用意されています。
多くの施設がヘルスケアアプリケーションでこの機能を要求しているのでしょうか。多くの実際のアプリケーションでこれが見られたことを思い出しません。
私の医療機関では、EMRでBreak The Glassを使用しています。私はIT側で作業しているので、それが臨床医にどのように適用されるのかはわかりませんが、私たちにとっては、患者の記録にアクセスした場合に、Break The Glassが必要になるように設定されています。その際、なぜレコードにアクセスする必要があるのかについてコメントを入力する必要があります。
これは優れた機能です。HITECH法の導入により、そしてもちろんHIPAAとともに、患者のカルテに入った理由を文書化することが重要です。
患者として、あなたにはあなたの医療記録にアクセスしたすべての従業員の名前を要求する権利があり、あなたはまた彼らがあなたのチャートを見ることを必要とした理由を知る権利を持っています。 Break the Glass機能を強制することにより、私たち従業員はこのドキュメントを作成する必要があります。このドキュメントがなく、私の組織に対して訴訟が提起された場合、チャートにアクセスした個人は、チャートを入力する十分な理由を提示できない場合、責任を問われる可能性があります。
つまり、これは必須ではありませんが、リスクを軽減するための優れた方法です-組織だけでなく、HITECHおよびHIPAAによって責任を問われる可能性のある個人にとっても。
私が知っている限り、その特定の機能に対する広範な要件はありません。ただし、医療アプリケーションとして、通常はシステムの危険性と緩和策を検討します。
ハザードの1つが「緊急診断のためにすぐにアクセスする必要があるときに画像に到達できない」場合、緩和策の1つが「ブレークグラスモード」である可能性が非常に高くなります。私は確かに、まさにこの理由で、画像アーカイブへのバックドア(非GUI)アクセスを提供するシステムを見てきました。 @Marshall Anschutzが言ったように、これはすべて画像操作がいかに生命に関わるかによって異なります。
この機能の要求についてコメントすることはできませんが、安全性の観点からこの機能の必要性に次ぐものだと思います。
医師として、私は臨床情報への即時の無制限のアクセスが重要である状況を考えることができますが、「緊急ブレイクグラス」機能を電子医療情報システムの絶対的な要件として考えることはできません。無制限のアクセスを持つことによるセキュリティリスクは高すぎるだけでなく、次のことも考慮してください。同様の機能は従来の紙ベースのシステムでは絶対に利用できませんが、それでも(何らかの理由で)効果はあります。物理的なレコードが誤って配置されているか、または「ロックされている」ため、物理的なレコードにアクセスできません。つまり、手元にあるものだけを使用する必要があります)。
私の意見では、この種の機能があると、許容できないセキュリティリスクが加わるだけです。臨床情報へのタイムリーで適切なアクセスにより患者の安全を確保する適切な方法は、システムのユーザーに当社のセキュリティおよび認証手段を認識して使用するように正しく指示することです。
個人的に、緊急時のデータの使用を検討するときは、常に「ブレイクグラス」のセットアップを考えます。たとえば、緊急治療室を見てみましょう。私の心の中で、すべてのER医師はERターミナルからすべての記録を取得できるはずです。例外ログを使用して問題を処理します。チェックインせずに患者の記録にアクセスした場合は、事後調査を行うことができます。彼らは心停止で到着した可能性があり、トリアージデスクはそれらを決して見ないため、アクセスをロックアウトしません。
同様に、看護師の机の後ろに、有効で割り当てられていないカードのスタックを置きます。そのうちの1つが使用されており、数時間以内に人に割り当てられない場合は、事後に調査することができます...しかし、新しいカードをリクエストするまで、医師がカードを紛失してデータにアクセスできないというシナリオはリスクを冒しませんITからのカード。
アクセス制御はソリューションの一部です。優れた監査およびトリガールールはギャップを埋めるため、必要なものを停止しないでください。臨床のセットアップの場合、「オールアクセス」のカードデッキは引き出しに入れておき、常に事後の使用を調査することができます。
アプリケーションによっては、このような要件がある場合があります。ただし、ほとんどの場合、特定のアプリケーションに限定されます。つまり、病院の心臓監視装置。一方、電子請求提出システムでは、通常のエンドユーザーが請求を提出した人を変更できるようにする必要はありません。これは、システムのセキュリティの前提に違反する可能性があるためです。
要するに、これは要件である可能性がありますが、対象となるエンドユーザーが誰であるか、およびエンドユーザーが実行する操作がどれほど生命に関わるかによって異なります。
そのような要件が存在する場合(それらについて論争しないでください)、集中システムの作成者に通知する必要があります。私が見た多くのシステムでは、非常に厳しいセキュリティポリシーが設定されています。たとえば、パスワードの入力を3回以上間違えたとすると、一部のシステムでは完全にロックアウトされます。ロックアウトは集中的に発生するため、ユーザーがすべてのアプリケーションのセキュリティポリシーをバイパスすることを許可しても、中央データベースへのアクセスはブロックされます。
場合によっては、患者の現在の人口統計情報にアクセスすることは(直接ではなく)それほど重要ではありませんが、最新のINR結果を取得することが重要になる場合があります。
個人的には、そのようなバイパスを実装する必要はありませんでした。私が関わっていたほとんどのアプリケーションとシステムは、緊急事態での使用を意図したものではなかったので、状況が実際に発生することはありませんでした。
ただし、このような対策を講じる場合は、このモードで実行されたすべての操作の特別な完全な監査追跡ログを保持します。
以前の仕事では、私たちのEMRはVIP患者とすべての従業員のために "Break the Glass"を使用して設定されましたが、自分の行動が記録されます。
一部の自動血液バンク監査および解放システムには、「ブレークグラス」機能があり、通常のプロセスに従う必要なく冷蔵庫にアクセスできます。入力要求、患者記録IDのスキャン、ラボシステムとの双方向インターフェースで血液型を検索し、冷蔵庫から取り出して血液ユニットをスキャンします...
クイックリリースドアメカニズムと、この場合に後で正当化をキャプチャするフィールドがあると非常に便利です。
このメカニズムは現在、フランスの法律で義務化されています(ルックアップ PGSSI-S 、フランス語)。
他の州についてはわかりませんが、関連する法律を確認する必要があります。