病院など医療機関へのサイバー攻撃の現況

近年、サイバー攻撃による被害が世界各国で急増しています。情報通信研究機構（NICT）によると2015年から2020年にかけてサイバー攻撃による被害は8.5倍に増えました。※1

新型コロナウイルスの感染拡大によって、医療機関でもテレワークを行う職員が増加しました。テレワーカーを狙ったサーバー攻撃も増えており、セキュリティ事故の危険性は増すばかりです。しかしハッキングやウイルスによるサイバー攻撃などのインシデントが発生した場合、どのような損害を被るかを前もって明確に想定することは難しいのが現実です。

この記事では、サイバー攻撃によるインシデントが発生した際、どのような損害が生じるのかについて最新の事例を紹介し、そしてインシデントにどのように対策すればいいのかをご紹介します。

2022年の事例

今、地方の病院や医療機関がサイバー攻撃に狙われています。

例えば、2022年1月の中旬に、日本歯科大学附属病院（東京都千代田区）で病院内のコンピューターがウイルスに感染し、4日間にわたり新規患者の受け入れや診療の一部を停止する事態となりました。病院側の調査の結果、歯科と医科においてそれぞれの電子カルテと会計システムが作動する計3つのサーバーに不具合が生じていたことがわかり、システムを停止せざるを得ませんでした。その結果、患者さんの情報が閲覧できないという事態に陥り、予約患者のみを受け入れたり一部の診療を中止しなければなりませんでした。会計システムも停止したため、診療費を後日患者さんに請求するという対応を余儀なくされました。

さらに、医療法人陽和会春日井リハビリテーション病院・付属クリニックも2022年1月19日に、不正アクセスによるシステム障害という被害を報告しました。この件も、病院内のコンピューターへの外部からの不正アクセスされたことが原因で、電子カルテシステム医事会計システムのプログラムに不具合が生じ、すべてのサーバーを一時停止しなければなりませんでした。

名古屋大病院（名古屋市）は2月24日、教職員のメールアカウントに不正なアクセスがあり、個人情報が含まれたコンテンツを閲覧された可能性があると報告しました。同病院の報告によると、閲覧された可能性のある電子メールには、患者さん計184人の個人情報のほか、医学部生や共同研究者、また同僚ら計約230人の個人情報を含むファイルが添付されていました。

地方の病院や医療機関が狙われる理由

日本の地方の病院や医療機関がサイバー攻撃の標的になるのはなぜでしょうか。

犯行側であるハッカー集団は、あえて地方の病院や医療機関に標的を合わせているわけではなく、システムに弱点がある相手を無作為にみつけ犯行に及んでいるとセキュリティの専門家は分析しています。今のところ、犯行側の意図や目的はわかっていません。

病院へのサイバー攻撃として代表的なのが、身代金要求型のコンピューターウイルスである「ランサムウェア」です。ランサムウェアは「身代金を払わなければデータを公開する」という脅迫をともないます。ハッカー集団は交渉のテーブルに着かせるために、病院側に対してURLを指定し、そこへアクセスするように要求します。

しかし身代金を払ったとしてもデータが戻ってくるという保証がないため、ほとんどの病院はURLにアクセスせず交渉のテーブルに着くことはないのが現実です。

まだまだ厳しいサイバー犯罪捜査の現実

警察は病院からの通報を受け、ウイルスの原因や侵入経路について捜査していますが、難航しているのが現状です。

ウイルスの原因や侵入経路を特定するには、コンピューターシステムに残された履歴を確認することが求められますが、大抵のケースではウイルスによってこの履歴が消去されていて確認することができません。

インシデントの定義と発生した際の対応

サイバー攻撃に関して用いられる「インシデント」という言葉は、セキュリティ上脅威となる事態を指して用いられます。例えば、マルウェア感染、不正アクセス、機器の故障、電子メールの誤送信などの機密情報流出、PCの紛失などが挙げられます。

サイバーセキュリティ対策の目的は、このような事態から生じる被害をできるだけ最小限に抑えることです。サイバー攻撃が発生した場合、「どのように被害を抑えていくか」「どのようにコンピューターシステムの復旧を図るか」という課題に取り組んでいく必要があります。

では、サイバー攻撃が発生した場合、どのような対応ができるのでしょうか。
各医療機関で独自の対応が定められているのが現状ですが、重要なのはサイバー攻撃が発生した時に速やかに連絡や報告が行うことです。サイバー攻撃発生事案を掌握し、夜間休日問わず速やかに行います。そして、サイバー攻撃による事故発生日の翌日までに、電子申請にて情報セキュリティ事故発生報告を行います。

サイバー攻撃による被害が、当法人機関に重大な影響が及ぶ可能性がある場合、管掌役員は関連する機関の代表者に速やかに報告を行なうことも大切です。必要な連絡や報告が行われた後、管掌役員は担当者を選定し、サイバー攻撃による被害調査を行ない、再発防止策を策定し、実施していく必要があります。管掌役員は、引き続き再発防止策の効果を観察し、機関の定期監査などによって状況を常に確認していくことが求められています。

サイバーセキュリティ対策を行ない、サイバー攻撃による被害を最小限に抑えることはできますが、100％被害を無くすことはできません。そのため事前に、各機関が予め対策を準備しておくことが重要です。

医療機関における情報漏えいの発生原因

医療機関における情報漏えいの被害は後を絶ちません。では、医療機関における情報漏えいの発生原因は何でしょうか。

株式会社メディウェルが運営するWebマガジン『エピロギ』の調べ※2によると、2002年から2018年までの医療機関での情報漏えいの原因を分析した結果、原因は、誤操作、紛失、置き忘れ、管理ミスや盗難、そして不正な情報持ち出しが挙げられます。これらの原因のいずれも、サイバー攻撃による被害ではなく、人的問題が原因で起こってしまった被害です。医療機関のセキュリティ対策の甘さが原因で情報が漏えいする場合もありますが、医師を含む現場スタッフの不注意やモラルの低さが原因で情報が漏えいするケースが目につきます。

セキュリティ事故発生時に生じる損害

セキュリティ事故発生時に生じる損害は、各対応時それぞれの過程で換算すると相当のコストになります。

例えば「費用損害」について考えてみましょう。
事故発生時に行なわれる「調査」や「解決や再発防止」の過程においても費用がかかります。また、サイバー攻撃による情報漏えい、事態に起因して他人に損害を与えた場合の損害賠償、訴訟費用などの費用損害も考えられます。さらに、サイバー攻撃に起因したネットワークの中断が原因で起こる逸失利益や営業継続のための費用なども必要になる可能性があります。

また、患者さんの個人情報が漏えいした場合、さまざまな問い合わせに対応するために、コールセンターを設置する必要があります。コールセンター設置費用には、初期費用と運用費用があり、1か月120万円から200万円の費用が必要となります。

さらにインシデント発生に伴い、法律面を考慮した対応が求められます。その場合、弁護士費用や再発防止案策定のためのコンサルティング費用、またハードウェアの復旧費用などの費用が必要です。

インシデントレスポンスを提供している、ある業者によると、サイバー攻撃の被害にあったPCとサーバー数台程度の調査であれば、初期対応とフォレンジック調査を合わせて300万円から400万円程度の費用が必要になります。しかし、PCがマルウェア感染してその感染範囲が拡大した場合、費用は数千万円以上に及ぶ可能性もあります。

医療業界の情報漏えいの実態と与えるダメージ

個人情報の漏えい事故は、患者さんと医師、そして医療機関すべてに多大な精神的、また経済的ダメージを与えます。

例えば、サイバー攻撃による1回の個人情報漏えい事故で、医療機関の組織から大量の個人情報が漏えいしてしまうと、患者さんのプライバシーが危険にさらされ、不必要なセールスの勧誘を受けたり、医療記録や患者さんの身体状態や病状といった個人情報も漏えいしてしまうことになります。そうなると、患者さんへの精神的なダメージは相当なものとなり、差別や偏見などの被害を受ける結果となりかねません。さらに、病院側は、患者さんへの対応に多くの時間を奪われることになり、再発防止策を導入したり、事故を収束させるための対応に追われます。

病院などの医療機関における情報漏えいの対策

医療機関における情報漏えいの実態とそれが与えるダメージを考えると、セキュリティ対策を取ることは必須です。

そのため、医師個人で取り組むことができる対策と医療機関全体の組織で取り組むべき対策を考える必要があります。それぞれの対策の中から、各医療機関それぞれに合った対策を見つけ実践していきましょう。

医師個人で取り組むことができる対策

医師個人で取り組むことができる対策は幾つかあります。順に見ていきましょう。

データに関する対策

データ自体への対策です。個人を特定できる情報データを削除するか暗号化しましょう。

紛失・盗難に対する対策

紛失や盗難に対する対策も、医師個人で取り組むことができる対策の一つです。個人情報を管理している部屋や事務所にはカギをかけたり、管理しているパソコンが誰でも触れないようパスワード設定をしたり、HDD暗号化などの対策をとりましょう。

情報システムに関するセキュリティ対策

情報システムにおいての基礎的なセキュリティ対策を取ることが重要です。例えば、常にOSのバージョンアップを行なうことやソフトウェアのセキュリティパッチの適用、さらにコンピューターウイルス対策ソフトの利用です。ソフトウェアの正しい設定や使い方への理解も重要であることを覚えておきましょう。

医療機関全体の組織で取り組むべき対策

セキュリティ対策は医療機関全体の組織で取り組むことで、さらに強化されることは間違いありません。医療機関全体の組織として取り組むことができる対策には、どんなものがあるでしょうか。いくつか挙げることができます。

セキュリティや情報の取り扱いに関するルールの作成

セキュリティ対策のマニュアルを作成することで、対策につながります。例えば、セキュリティルールや情報をどのように取り扱っていくかを示す手順書を作成します。個人情報や機密情報の持ち出しを禁止するルールを定めたり、情報を持ち出す場合は、そのことを申請するという取り決めも定められます。さらに、重要な個人データを送信しなければならない場合の時のために、送信する上での手順書を作成することも対策の一つにできます。各医療機関において業務が異なるので、各業務に合った対策を定めることが重要です。

システムの導入・活用

システムの構築や導入も、対策につながります。例えば、個人情報や機密情報の持ち出し防止システムを構築したり、個人データを送信しなければならない場合のために安全なデータ転送システムの導入、さらにクラウドシステムの利用も対策につながります。

もちろん医療機関全体の組織においてセキュリティ対策マニュアルを作成したり対策システムを構築したりしても、それを実践するための教育が必要です。教育を行っていくことで、組織として同じビジョンを持つことができ、セキュリティ対策もさらに効果的なものとなります。

医療業界のサイバー攻撃

サイバー攻撃のリスクはどのような視点で測られるのでしょうか。
一般的にサイバー攻撃のリスクは、次の2つのポイントで測られます。それは、「サイバー攻撃の容易性」と「サイバー攻撃対象の資産価値」です。サイバー攻撃を仕掛ける攻撃者は、サイバーセキュリティ対策がまったくなされていないか十分に対策がされていないシステムを常に狙っています。かつ攻撃対象となる資産の価値が高いシステムを狙うのは言うまでもありません。

医療機関に対してのサイバー攻撃が容易かどうかを考えてみましょう。近年医療機関ではICT化が促進され、ネットワークに接続できる医療機器が増加しています。しかし、多くの医療機器の管理は手動でなされていることが多いのが現状です。医療機器の管理が手動でなされるならば、人手と時間の多くを要することとなってしまい、サイバーセキュリティ対策の管理が十分に行き届かなくなってしまいます。そうなると、管理不十分な貧弱な機器がネットワークに繋がってしまうことになり、サイバー攻撃の標的となります。また、多くの医療機関ではサイバーセキュリティ対策の教育が十分になされていなく、この事実もサイバー攻撃の標的となる可能性をさらに強める要因の一つです。

さらに、サイバー攻撃対象の資産価値についても考えてみましょう。医療機関で取り扱われている患者さんの個人情報はとても価値ある貴重な資産であると言えます。サイバー攻撃によって患者さんの個人情報が漏えいしてしまったら大変な事態となります。患者さんの個人情報は、ダークウェブサイト上でクレジットカード情報の10倍から20倍の価値で取引されていると言われています。近年のサイバー攻撃の特徴も、医療機関へのランサムウェアによるものです。医療機関の医療機器がサイバー攻撃によって停止してしまうと、患者さんの安全が危険にさらされます。

残念なことに、攻撃の容易性と攻撃対象の資産価値、そして患者さんの命に直接影響を及ぼすという事実から、今後もサイバー攻撃が増加していく可能性が十分にあります。

医療情報システムの安全管理に関するガイドラインについて

厚生労働省は、平成29年5月に、「医療情報システムの安全管理に関するガイドライン第5版」を策定しました。しかし、近年のサイバー攻撃の手法の変化に伴い、令和3年1月に、情報セキュリティの視点から医療機関が遵守すべき事項などの規定を設けるなどの所要の改定を行い、「医療情報システムの安全管理に関するガイドライン第5.1版」を策定しました。※3

主な改訂点は、クラウドサービスへの対応や認証とパスワード対応、そしてサイバー攻撃による対応、さらに外部保存受託事業者の選定基準への対応が挙げられます。しかし、この改訂点は、主に技術的な運用管理上の観点からの対策を示したもので、サイバーリスクへの対応は別に必要になります。

医療機関が実施したいサイバーセキュリティ対策・サイバー保険

サイバー攻撃の手法は日々変化し、常に攻撃が激化しています。現時点でもっとも優れたサイバーセキュリティ対策を行っていたとしても、すべてのサイバー攻撃から逃れるのは不可能です。しかし、医療機関が現時点で行えるサイバーセキュリティ対策はいくつかあります。

医療機関が行っていく必要があるサイバーセキュリティ対策には、ランサムウェア対策、インターネットからアクセス可能な機器の調査をすること、またネットワーク接続された機器の把握をすることが挙げられます。これらの対策は、医療機関が継続的に行っていくべき対策で、未然防止策であると言えます。医療機関は、さまざまなリスクを想定して、サイバー攻撃にあった際の別途の備えをしておく必要があります。「サイバー保険」はサイバー攻撃に伴うリスクに備えさせてくれるもので、インシデント対策に迅速で、かつリスクに備えることができます。

新型コロナウイルス感染症により逼迫している医療機関につけこみ、今後もサイバー攻撃は継続されていく可能性があります。医療機関はサイバーセキュリティ対策を実施し、万全な状態を整える必要があると同時に、「サイバー保険」によって万一サイバー攻撃の標的になった時のための備えをしておく必要があります。

サイバー保険では、賠償責任をはじめ、事故発生時の各種対応費用や利益また営業継続費用などを包括して保証してくれます。情報漏えいやネットワークの停止、データプログラムの破損などのサイバー攻撃による被害は多大なものです。もしインシデントへの対応が遅れてしまうならば、その被害はさらに大きくなります。サイバー保険を利用することで、そのような被害を軽減できるだけでなく、必要な対応に合わせた業者の手配が可能となります。万一サイバー攻撃にさらされた時のための備えとして、サイバー保険を検討してみてはいかがでしょうか。

まとめ

医療機関における個人情報漏えいの多くは、人的問題、つまりケアレスミスが原因で発生しています。個人情報漏えいを防ぐために、まずは誤操作や紛失または置き忘れ、そして管理ミスや盗難に関するセキュリティ対策に医療機関全体として取り組んでいかなければなりません。

時代の変化に合わせた対応

現在、マイナンバーシステムや医療IDシステムなどICT化の促進と、新型コロナウイルス感染症の影響により、サイバー攻撃のリスクはこれからも増加していくことが予想されます。また、個人情報は守る時代から個人情報を活用する時代へと変化しています。そのような変化に対応し、患者さんが医療機関でこれからも安心して受診していただくためにも、医療機関の各部門が一つになって、セキュリティ対策を実施していくことが重要です。

株式会社ITreatでは、病院・クリニック向けの集客・採用対策、SEO強化などを目的としたホームページ制作を始め、ITソリューションの提供やシステム受託開発など幅広くITサービスの提供しております。院内のセキュリティ対策やインフラ整備などについてもご相談を承っております。
無料お見積もりも受け付けております。お困りの方はぜひお問い合わせ・ご相談ください。