医療機関でのサイバーセキュリティ対策が義務化~急増する被害の現状と実施すべき対応策とは~

 昨今、サイバー攻撃の被害が増加していて、中でも医療機関をターゲットとした被害事例が相次いでいます。医療機関がサイバー攻撃を受けた場合、診療の一時停止や患者情報の漏洩など、医療機関の経営はもちろんのこと、地域医療にも大きな影響が及びます。


 こうした事態を受け、2023年4月1日、医療法施行規則改正により医療機関や助産所の管理者に対してサイバーセキュリティ確保(対策)が義務化されました。これに対応して、「医療情報システムの安全管理に関するガイドライン」も更新されました。ここでは改めてサイバー攻撃の現状を整理し、医療機関と医師個人が取るべき対策を確認します。

 

目次
  1. 1.身代金を要求するランサムウェアの被害が急増
  2. 2.多数の被害、診療停止や診療制限で十数億円の被害も
  3. 3.ガイドライン第6.0版で「今すべきセキュリティ対策」が明確に
  4. 4.サイバー攻撃に備えて 医療機関と医師個人が実施すべき対策とは

1.身代金を要求するランサムウェアの被害が急増

 近年、電子カルテや診療予約システムなど医療機関におけるIT化が進められています。医療機関のIT化は、多職種間での情報共有や医療の効率化、質の向上に大きく役立つ一方で、セキュリティ上のリスクも高まっています。IT化に伴うセキュリティリスクにはいくつかの種類がありますが、近年増えているのが、医療機関を対象としたサイバー攻撃です。

 サイバー攻撃の中でも、特に増えているのがランサムウェアによる攻撃です。ランサムウェアとは、ファイルを暗号化して使用できなくし、ファイルを元に戻すことに対して仮想通貨などの形での身代金を要求するコンピュータウイルスです。

 医療機関の情報システムがランサムウェアに感染すると、病院内の電子情報が暗号化されて使用できなくなり、電子カルテが使えなくなって診療に支障が生じたり、患者の個人情報が漏洩したりするなど、多くの被害をもたらすことが懸念されています。

 こうした中、厚生労働省(以下、厚労省)では医療分野のセキュリティ対策について、「医療情報システムの安全管理に関するガイドライン」(以下、ガイドライン)などを示し、各医療機関に対応を求めてきました。

 さらに2022年度診療報酬改定では、同ガイドラインを踏まえて診療録管理体制加算が見直されました。具体的には許可病床数400床以上の医療機関を対象に、専任の医療情報システム安全管理責任者の配置や情報セキュリティ研修の実施を求める内容となっています(下図)。

診療録管理体制加算での情報セキュリティ対策の強化

出典:厚生労働省「2022年度診療報酬改定項目の概要」診療録管理体制加算の見直し(2022年7月20日)資料p.64

 その上で厚労省は2023年5月31日、最新となるガイドライン第6.0版を公開しました。医療法施行規則の一部改正(第14条第2項を新設)、また2023年4月1日から保険医療機関・薬局におけるオンライン資格確認導入が原則義務化されたことを受け、ほぼ全ての医療機関などにおいてネットワーク関連のセキュリティ対策が必須となりました。これを受けて同第6.0版では、医療情報システムの安全管理の実効性を高める観点から、全体構成の見直しを行っています。

2.多数の被害、診療停止や診療制限で十数億円の被害も

 医療機関を対象としたサイバー攻撃の被害は増加傾向にあり、ランサムウェアによってデータが暗号化されて電子カルテが使えなくなるなどの被害が出ています。実際に医療機関がサイバー攻撃を受けるとどのような被害が起こるのか、事案を元に紹介します。

 例えば、2022年10月31日には大阪急性期・総合医療センターにおいて、サイバー攻撃による大規模システム障害が発生しました。この事例では電子カルテシステムが暗号化されて長期間、診療制限をせざるを得ない状況になりました。

 電子カルテサーバーが再稼働したのは2022年12月12日、診療機能が完全に回復したのはシステム障害が発生してから丸2カ月以上が経過した2023年1月11日でした。同院のケースでは、調理を委託していた給食事業者の給食システムにウイルスが侵入し、それを経由して感染が病院内に拡大し、最終的に電子カルテシステムなどの基幹システムにまで被害が及びました。

 具体的な被害内容は、診療制限によって2022年11月の診療実績(前年同月対比)が新入院患者数558人(前年同月比33.3%)、延入院患者数1万191人(前年同月比52.9%)、初診患者数465人(前年同月比17.9%)、延外来患者数1万5,744人(前年同月比61.6%)と大きな影響が出ました。また、被害額についても調査・復旧費用で数億円以上、診療制限に伴う逸失利益として十数億円以上が見込まれています(下図)。

地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター「情報セキュリティインシデント調査報告書概要」

出典:地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター「情報セキュリティインシデント調査報告書概要」(2023月3月28日)p.1

 2021年10月31日には、徳島県のつるぎ町立半田病院でランサムウェア感染の事案が発生しました。同院の事案では、病院内に設置されていた複数のプリンターが、一斉に犯行声明を印字し始めたことからインシデントが発覚しました。侵入経路としては、導入している仮想プライベートネットワーク(VPN)の脆弱性を悪用したものと考えられています。電子カルテの端末や関連するサーバーのデータが暗号化されて、データが使用できなくなるなど、甚大な被害が生じました。

 これに対して同院ではネットワークの遮断や端末を停止し、一時的に急患や新規患者の受け入れ中止、手術も可能な限り延期を決定。病院機能が事実上、停止する状態に陥りました。同院では発生直後から「災害級」と判断したインシデント対応を実施しています。その上で患者データの復元に焦点を当てた対応を行ってきましたが、通常診療再開は2022年1月4日とインシデント発生から2カ月以上を要しました。

 このほか2018年10月16日には、奈良県の宇陀市立病院において電子カルテシステムがランサムウェアに感染し、電子カルテの利用が不可能となる事案が発生しました。システムデータが暗号化されたこと、また、バックアップが正しく取得されていなかったことから、同年10月18日まで丸2日間、電子カルテシステムの全面停止を余儀なくされました。

 さらに影響は診療報酬請求にも及び、福祉医療費助成制度などに基づく償還にも遅れが出るなど、業務全体に支障を来しました。また、電子カルテシステムの復旧を優先し、システムログの保全を行わないまま再セットアップを行ったため、正確な原因究明はできませんでした。そのため、個人情報の漏洩の有無について、明確にすることができない状況となりました。

3.ガイドライン第6.0版で「今すべきセキュリティ対策」が明確に

 これらのサイバー攻撃に対して、医療機関および医師個人は、どのような対策を講じることができるのでしょうか。

 まず、セキュリティ確保の大きな動きを確認しておきましょう。これまでも、病院(特定機能病院、臨床研究中核病院除く)や診療所に対しては、医療法第25条第1項に基づいて都道府県等が立入検査を実施し、適正な管理が行われているかチェックをしていました。

 この立入検査が、2023年4月1日の医療法施行規則改正(前述)に対応し、「サイバーセキュリティ確保の確認」が追加されました。ただし、この立入検査は、ペナルティを科すためではなく、サイバーセキュリティ確保について支援・助言を行うための検査である、と位置づけられています。

 そのサイバーセキュリティ確保のために、医療機関や医師が使用するのが、前述したガイドライン第6.0版です。ただ、同ガイドラインは、かなりのボリュームがあり、どこから取り組めば良いのか分かりにくいのも事実です。

 そこで、厚労省は2023年6月9日、優先的に取り組むべきことをまとめた「医療機関におけるサイバーセキュリティ対策チェックリスト」と「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関・事業者向け~」を作成し、医療関係団体などに通知しました。

 ちなみに、従前のガイドライン第5.2版においてもチェックリスト(以下、旧チェックリスト)が作成されているのですが、ガイドライン第6.0版に対応した今回の「医療機関におけるサイバーセキュリティ対策チェックリスト」(以下、新チェックリスト)は立入検査での活用も想定されているのが特徴です。また、そこでのチェック項目については、2023年度中に取り組むべきこと、2024年度中に取り組むべきこと(2023年度の立入検査では確認しない項目)に分けられ、「まず何から取り組むべきか」が明確になりました。

4.サイバー攻撃に備えて医療機関と医師個人が実施すべき対策とは

 では、その新チェックリストなどから抜粋して、医療機関の経営層、医師がそれぞれ取るべき対策を紹介します。

 医療機関の経営層が取り組むのは、医療情報システム安全管理責任者を設置した上で、医療情報システムの管理・運用、インシデント発生に備えた対応について、体制を整備することです。例えば、次のようなことをしておく必要があります。

  • ・サーバー、端末のパソコン、ネットワーク機器の台帳管理を行う
  • ・リモートメンテナンス(保守)を利用している機器の有無を、事業者等に確認する
  • ・利用者の職種・担当業務別の情報区分ごとのアクセス利用権限を設定する
  • ・アクセスログを管理する
  • ・インシデント発生時での組織内と外部関係機関(事業者、厚労省、警察等)への連絡体制図を作成する

医療機関におけるサイバーセキュリティ対策チェックリスト(令和5年度中)医療機関におけるサイバーセキュリティ対策チェックリスト(令和6年度中)

出典:厚生労働省「医療機関におけるサイバーセキュリティ対策チェックリスト」p.1~2

 新チェックリストでは、医療従事者・一般向けのものがなくなりました。そのため、医師個人として、普段の業務において何に気を付ければいいのかは、旧チェックリストで用意されていた「医療従事者・一般のシステム利用者向けサイバーセキュリティ対策チェックリスト」を、参考にすると良いでしょう。その中から一部を抜粋し、ご紹介します。

  • ・業務に不要なWEBサイトへのアクセスをしない
  • ・システムの異常があった場合、院内のどこに連絡し、相談すればいいのか知っておく
  • ・重要情報は電子メール本文に書くのではなく、添付ファイルに書いてパスワードなどで保護する
  • ・見知らぬ相手先等からの添付ファイル付きの電子メールやリンク先のクリックは注意する

 かつて、医療機関は外部のネットワークから切り離されていたため、ネットワーク経由のリスクとは無縁と考えられていた時代もありました。しかし、今やサイバー攻撃は医療機関にとって大きな脅威です。また、オンライン資格確認や電子処方箋の導入などで医療機関内のシステムやネットワークが大きく変化しつつあります。改めて現場レベルでもガイドライン第6.0版などを確認し、必要な対策を講じることが求められています。

(文・エピロギ編集部)

 

<参考文献>

他の「スキル・ノウハウ」に関する記事をみる

関連記事をみる

人気記事

医療用語集
EPILOGI メルマガ会員募集中 人気記事ランキング エピロギ編集部おすすめ記事 会員限定アンケート 会員限定イベント情報
ページの先頭へ