病院などの医療機関を取り巻く情報セキュリティ対策の現状

医療機関に対するサイバー攻撃が増え続けています。患者さんの個人情報など繊細な情報を扱う病院は、現状と課題を知りサイバー攻撃に備える必要があります。しかし、どのようにサイバー攻撃に対応していけばいいのかわからない病院も多いのではないでしょうか。

この記事では、医療機関に対するサイバー攻撃を受けたときにどう対処すればいいのか、また事前に病院としてどのような対策をすればいいのか、厚生労働省から公開されている情報を交えながらご紹介します。

増え続けるランサムウェアの被害

毎日のように仕掛けられている医療機関へのサイバー攻撃の中でも、特に用いられている攻撃の方法の一つに「ランサムウェア」があります。「ランサムウェア」によるサイバー攻撃は、医療機関のシステムやデータをロックし、代わりに金銭を要求するという手口です。医療機関において患者さんの個人情報はとても貴重なため、身代金を払ってくれる可能性が高いとして、この種の手口が増加しています。

ランサムウェアによって病院のシステムがロックされてしまうと、受け入れ患者の数を制限しなければならなくなったり、予定されていた手術をキャンセルせざるを得なくなったりします。場合によっては、命に関わるなど多大な被害を被ることになります。さらに、病院のシステムやデータがランサムウェアによってロックされてしまうと、経営状況の悪化が予想されます。システムの再構築、またデータの復旧作業には多額の費用がかかります。このような事態を招かないためにも、医療機関における情報セキュリティ対策は必須と言えます。

情報セキュリティの対策はシステムを使う全スタッフで対応

医療機関での情報セキュリティの対策は、その医療機関のシステムを利用するすべてのスタッフが行うべき事柄です。

例えば、病院で使うパソコンの画面がある日突然見たことのない画面に変わっていたとします。何が原因なのでしょうか。もしかしたら、ウイルスが添付されたメールを誰かが開いてしまったのかもしれません。または、外部の誰かが病院のシステムに侵入してサイバー攻撃を仕掛けた可能性もあります。
いずれにしても、このような外部からの攻撃により、医療機関のシステムが停止してしまい診療できなくなったというケースが増えています。医療機関の情報セキュリティ対策は、管理している情報システム部門だけで防げるわけではないということがわかります。情報を共有する他のスタッフが被害にあわないように、医療機関全体で対策をとる必要性があります。

病院などの医療機関で取り扱われる情報

病院などの医療機関で取り扱われる情報は、個人情報保護法の中でももっとも守らなければならない重要な情報の一つとして位置づけられています。

定義づけとしては、本人の信条、人種、本人の病歴、本人の犯罪の経歴、本人に対する不当な差別や犯罪によって害を被った事実、不利益や偏見が生じないように取り扱いに特に配慮を要するものとして法令が定める記述が含まれる個人的な情報とされています。

その中でも、「個人情報保護法」において特に「要配慮個人情報」として扱われ、特別視されるほど重要な情報です。医療機関は、扱われる個人情報が法令的にどのような属性を有するのかをよく理解したうえで、医療情報システムのセキュリティ対策を検討していく必要があります。

また、医療機関で取り扱われる情報の代表格ともいえるものが「医療カルテ」です。医療カルテは、医療機関で取り扱われる個人情報の中でも特に守るべき情報として扱われています。

病院の情報セキュリティにおける課題とリスク

医療機関のネットワークは、安全管理や患者さんの個人情報の漏えいリスクに対して強固な対策を必要とします。そのような中、病院の情報セキュリティにおける課題とリスクには何があるのでしょうか。

医療機関のネットワークには、人の命に関わる医療現場に必要とされる常時安定性の確保が求められています。それと同時に、患者さんの個人情報の漏えいを防ぐ強固なセキュリティも求められています。医療機関において、最先端医療を安全に提供できる情報セキュリティの実現が課題となっています。

さらに、医療機関のネットワークには、ネットワークの構築や配線、運用保守まで徹底した管理体制が求められます。医療システムの安定した作動はもちろんのこと、緊急事態時の迅速な対応など徹底した管理体制が必要です。医療情報ネットワークは、24時間365日に作動していなければならないため、常駐プログラムのほか、専門のエンジニアを配して最新のセキュリティ対策を講じていくことが重要です。

そして、病室や会議室などへのネットワーク構築が必要とされています。無線LAN（Wi-Fi)についても快適な安定した環境が求められています。

情報セキュリティの対策における構成

情報セキュリティの対策は、主に4つの分野で構成されます。

まず一つは、「組織的対策」です。対策の主な内容は、情報システム部門の設置や体制の強化、情報システム等に係る規定の策定などが挙げられます。

情報セキュリティ対策の二つ目は、「人的対策」です。この対策には、主に情報システム部門との情報の共有の強化や職員・スタッフへの教育、そして外部委託先の管理などが挙げられます。

情報セキュリティ対策の三つ目は、「技術的対策」です。ファイアウォールやウイルス対策ソフトの導入、定期的なログの確認と分析が挙げられます。

そして四つ目の情報セキュリティ対策は、「物理的対策」です。医療機関においての入退室の管理の実施、そして重要な端末などへの盗難防止用チェーンの設置、または端末などの覗き見防止策などが挙げられます。

情報セキュリティ対策は、患者さんへの医療サービスの品質向上と同様、各職種・各部門で対応する必要があります。「組織的対策」や「人的対策」、「技術的対策」そして「物理的対策」のすべての構成がバランスよく機能する必要があり、いずれかの対策が欠けても、全体の有効性は期待できなくなります。

医療機関は、情報セキュリティ対策の重要性を理解し、一つの組織として対策を講じていかなければなりません。

病院のサイバーセキュリティ対策には国の支援が不可欠

国は、ランサムウェア対策などを取り込んだ「医療情報システムの安全管理に関するガイドライン」の改訂作業を実施。医療を含めた14重点分野については、2022年4月からサイバーセキュリティ対策が義務化されることになりました。

医療機関におけるサイバーセキュリティ対策の現状は、四病院団体協議会（日本病院会、全日本病院協会、日本医療法人協会、日本精神科病院協会）の調査で十分とは言えないことが明らかになってきています。四病院団体協議会は、病院のサイバーセキュリティ対策が、一般企業と比べると脆弱であるとし、国からの補助金を求める考えを示しました。一般企業であればサイバーセキュリティ対策の経費を商品価格等に転換できますが、病院では診療報酬が公定価格であるためそれが行えません。病院の経営状況は厳しく、サイバーセキュリティ対策にかけられる経費確保が困難です。
四病院団体協議会は、「サイバーセキュリティ対策」に関する委員会を立ち上げ、令和4年3月31日、国に対して公的補助金支給の緊急提言を実施しました。※1

病院の情報セキュリティにおける対策

医療機関が機密性の高い、患者さんの個人情報を大量に保管および処理していることを考えると、病院の情報セキュリティにおける対策は必須であると言えます。一部の医療機関では、高度なセキュリティ機能が伴なった新しいテクノロジーを導入するのではなく、現状を維持することと効率性を重視することが望まれ、特に不正行為に繋がることの多い事前に印刷された処方箋つづりを使用していました。しかし、医療機関のシステムやデータは、以前にもましてサイバー攻撃の標的となっており、セキュリティ侵害を受けた人やデバイスが関係する個人情報漏えいの割合は常に増加傾向にあります。古くなったテクノロジーが原因で患者さんの個人情報などが漏えいしやすい環境が医療機関内にあるなら、改良された最新のテクノロジーでセキュリティを強化し、医療機関全体のシステムを保護していかなければなりません。

2014年には、大規模な医療機関の8割程が個人情報漏えいを経験し、問題解決のための用いられた費用は100万ドルを超えました。患者さんの個人情報が漏えいすると、医療機関側だけでなく治療を委ねられている患者さんにもコスト面で負担を負わせてしまう可能性があるため、医療機関はサイバー攻撃に対する断固とした対策が求められています。多くの医療機関は、サイバー攻撃への対策を徹底するとともに、事後のサイバー保険の検討も勧められています。サイバー保険では、賠償責任をはじめ、事故発生時の各種対応費用や利益また営業継続費用などを包括して保証してくれます。

病院などの医療機関のサイバーセキュリティ対策の規程などについて

「医療情報システムの安全管理に関するガイドライン第5.1版」によると、医療機関がサイバー攻撃を受けた際、厚生労働省等の所管省庁への連絡など必要な対応を行うほか、そのための体制を整える必要があることが示されました。

病院などの医療機関におけるサイバーセキュリティ対策に関する自治体への通知

医療機関のサイバーセキュリティ対策に関する自治体への通知には、どんなことが含まれているのでしょうか。通知の内容は、幾つかの分野に分けられます。

医療機関は、「医療情報システムの安全管理に関するガイドライン」の周知徹底を図ることが求められています。医療機関などにおいて、コンピューターウイルスの感染などによるサイバー攻撃を受けた疑いがある場合、直ちに医療情報システムの保守会社等に連絡したうえで、厚生労働省医政局研究開発振興課医療技術情報推進室に連絡を行ってください。

そして、医療機関は情報セキュリティインシデント発生時に自治体へ報告します。医療機関において、コンピューターウイルスの感染などによるサイバー攻撃を受け医療情報システムに障害が生じ、患者さんの個人情報の漏えいが生じる、または生じるおそれがある事態を把握したならば、医療機関は自治体へ報告を行ってください。

さらに、医療機関は情報セキュリティインシデントが発生した医療機関等に対する調査及び指導についての対策が求められています。コンピューターウイルスの感染などによるサイバー攻撃を受けた医療機関は、必要に応じて、被害状況、対応状況、復旧状況、再発防止対策などに関わる調査及び指導を行い報告します。

医療分野におけるサイバーセキュリティの取り組み（医療セプター）との連携については、サイバー攻撃による被害を未然に防ぐことや、被害発生時の被害拡大防止、また迅速な復旧及び再発防止のために政府から提供される情報を共有することが求められています。

医療情報システムを安全に管理するためのガイドラインについて

「医療情報システムを安全に管理するためのガイドライン」とは、患者さんの電子カルテなど、個人情報の中でも厳重な保護が必要とされる医療情報を適切に管理するために国が定めたガイドラインです。

近年、ソーシャルネットワークやネット通販などのサービスにおいてサイバー攻撃の被害が起きていることを考えると、もっとも重要な個人情報の一つである患者さんの個人情報は、より安全性が高いシステムを構築していかなければなりません。そこで、この「医療情報システムを安全に管理するためのガイドライン」が厚生労働省から出されました。※2　医療機関は、このガイドラインに沿ってシステムの技術や運営管理上の対策を行っていかなければなりません。

Wi-Fi（無線LAN）提供者向けのセキュリティに関する手引き

医療機関においては、診療業務以外にもWi-Fiサービスを提供している施設などが増えています。しかし、十分なセキュリティ対策がなされていないと、ネットワークへの不正アクセスやコンピューターウイルス配布などのサイバー攻撃の標的となります。

こうした事態を踏まえ、総務省は、Wi-Fi提供者向け、またWi-Fi利用者向けに手引を策定しました。※3　例えば、来訪者向けWi-Fiと業務用無線LANは分離することが求められています。さらに、機器管理用パスワードは推測されにくいものを設定することも求められています。

病院など医療機関のサイバーセキュリティ対策の研修などについて

サイバーセキュリティに関する理解を深めるために、厚生労働省は対策の一環として医療機関で働く関係者に向けた「情報セキュリティ研修」にも力を入れています。

この研修は、動画、そして研修用の教材資料が用いられ、医療機関の経営者に向けて、システム管理者に向けて、セキュリティ管理者に向けて、そして医療従事者に向けてそれぞれ準備されています。

病院などの医療機関等に向けたサイバーセキュリティ研修用動画の紹介

医療機関において情報セキュリティの教育を円滑に実施するために研修用動画が準備されています。

動画の内容は、医療機関で働く関係者が情報セキュリティに対して是非意識したい基礎的な考えが紹介されています。サイバー攻撃に備えて事前に何を行なえるのか、サイバー攻撃が発生した場合、どのように対応できるのかが示されています。医療機関等向けサイバーセキュリティ研修用動画は、5分21秒の「ショート版」と9分2秒の「フル版」が用意されていますので、必要に応じて活用してください。

▼医療機関等向けサイバーセキュリティ研修用動画（ショート版）
https://www.youtube.com/watch?v=tva5oQE4XhE

▼医療機関等向けサイバーセキュリティ研修用動画（フル版）
https://www.youtube.com/watch?v=I_udMT26DeE

病院などの医療機関等に向けた情報セキュリティ研修教材の紹介

医療機関で働く関係者に向けた、情報セキュリティ研修用の資料も準備されています。この資料を各医療機関内での研修に活用することができます。

この研修用資料は、「経営者向け」や「システム管理者向け」、そして「システム・セキュリティ管理者向け」、「医療従事者向け」に分けて製作されていて必要に応じて使い分けることができます。例えば、経営者向けに製作された資料には、経営者側としてどのような正しい意識を持つことができるのか、またサイバーセキュリティ対策のための予算確保や窓口の設置に関する事柄がわかりやすく動画やPDFファイルなどで提供されています。

▼情報セキュリティ研修資料（経営層向けPDF）（厚生労働省HP）
https://www.mhlw.go.jp/content/10808000/000761087.pdf

▼情報セキュリティ研修資料（システム管理者・セキュリティ管理者向け）（厚生労働省HP）
https://www.mhlw.go.jp/content/10808000/000761095.pdf

▼情報セキュリティ研修資料（医療従事者向け）（厚生労働省HP）
https://www.mhlw.go.jp/content/10808000/000761105.pdf

まとめ

医療機関に対してのサイバー攻撃は増え続けています。患者さんの個人情報を守り、安心して受診していただくためにも病院内セキュリティ対策は必須です。

「医療情報システムの安全管理に関するガイドライン」は医療機関の安全を守るために用意されています。医療機関は、このガイドラインに沿って確認しながら管理また運営していくことが重要です。また、医療機関のネットワークでは、一刻一秒を争う最先端医療を滞らせることなく、患者さんの個人情報などの機密情報を確実に守ることが求められています。高い信頼のおけるネットワークを確立できる専門業者の働きが必要なのは言うまでもありません。万一サイバー攻撃にさらされた時のための備えとして、サイバー保険の利用も考えておく必要があります。サイバー保険では、賠償責任をはじめ、事故発生時の各種対応費用や利益また営業継続費用などを包括して保証してくれます。

病院などの医療機関がサイバー攻撃を受けた時の厚生労働省連絡先

医療情報システムの安全管理に関するガイドライン第5.1版において、病院などの医療機関がサイバー攻撃を受けたり、その疑いがある場合、以下の2点に関する必要性が示されています。

• 厚生労働省等の所管省庁へ連絡
• そのための体制を整備

なお、厚生労働省の連絡先は下記となっています。

院内のセキュリティ対策でお困りの方はITreatへ

株式会社ITreatでは、院内のセキュリティ対策やインフラ整備、、ITソリューションの提供やシステム受託開発など幅広くITサービスについてご相談を承っております。
無料お見積もりも受け付けております。お困りの方はぜひお問い合わせ・ご相談ください。