医療機関のサイバーセキュリティ強化に向けて ブックマークが追加されました
ナレッジ
医療機関のサイバーセキュリティ強化に向けて
医療機関のサイバーセキュリティ強化に向けたデロイト トーマツの取り組み
近年、医療機関に対するサイバー攻撃が増加・巧妙化しており、医療機関においてサイバーセキュリティ対策が義務化されました。一方で、サイバーセキュリティ強化の必要性を認識しつつも不安を抱いている医療機関が多いのではないでしょうか。本稿では、医療機関のサイバーセキュリティ強化に向けたデロイト トーマツの主なサービス・取り組みを紹介します。
目次
- 医療機関における昨今のサイバーインシデントの状況
- 医療機関のサイバーセキュリティ対策の義務化
- サイバーセキュリティへの意識・サイバーセキュリティ対策から見た医療機関の類型
- サイバーセキュリティ強化に向けたデロイト トーマツのサービス・取り組み
- おわりに
医療機関における昨今のサイバーインシデントの状況
近年、メディア等で報道されているように、サイバー攻撃による医療機関におけるサイバーインシデントが増えてきました。
医療機関における情報セキュリティの問題といえば、従来、病院職員によるUSBメモリや端末の紛失、職員による患者情報の閲覧等が問題になることが多い状況でした。しかし、近年では外部からのサイバー攻撃が増加・巧妙化したことに伴い、サイバー攻撃によるサイバーインシデントが増加しており、より深刻な被害を受けるリスクが増大しています。
※クリックまたはタップして拡大表示できます
医療機関のサイバーセキュリティ対策の義務化
国は、昨今の外部からのサイバー攻撃の増加に伴い、医療機関に対してサイバーセキュリティ対策を行うことを求めています。
具体的には、2023年(令和5年)5月に改定された「医療情報システムの安全管理に関するガイドライン 第6.0版」で、サイバー攻撃に備えた対策を行うことを医療機関に求めています。
なお、本メルマガにおいてもガイドライン第6.0版について概要を解説しています。
医療情報システムの安全管理に関するガイドライン第6.0版の概要
また、2023年(令和5年)4月には医療法施行規則が改正施行され、医療機関がサイバーセキュリティ対策を確保することを義務化する第14条第2項が追加されました。
医療法施行規則第14条2項目の具体的な条文は下記の通りです。
「病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を確保するために必要な措置を講じなければならない。」(医療法施行規則第14条2項)
サイバーセキュリティへの意識・サイバーセキュリティ対策から見た医療機関の類型
こうしたサイバーインシデントの状況に対して、サイバーセキュリティ強化を志向する医療機関が増えていますが、セキュリティの意識レベルにより医療機関は、[サイバーセキュリティに対する意識が高い・低い]、[セキュリティ対策が十分されている・されていない]の2軸から大きく下記の4つの類型に分類されると想定されます。
類型Ⅰ:セキュリティ意識はあるが、セキュリティ対策が十分か不安な医療機関
類型Ⅱ:セキュリティ意識が高く、対策もされている医療機関
類型Ⅲ:セキュリティ意識が低く、対策もしていない医療機関
類型Ⅳ:セキュリティ意識は低いが、可能な限り対策をしている医療機関
- 類型Ⅰ(セキュリティ意識はあるが、セキュリティ対策が十分か不安な医療機関)の類型においては、経営層にセキュリティ意識はあるが、情報システム部門のセキュリティに対する体制や予算が不十分です。この類型Ⅰに該当する医療機関が一番多いと想定されます。
- 類型Ⅱ(セキュリティ意識が高く、対策もされている医療機関)の類型においては、経営層のセキュリティ意識が高く、情報システム部門がセキュリティ対策を十分実施しています。
- 類型Ⅲ(セキュリティ意識が低く、対策もしていない医療機関)の類型においては、経営層、情報システム部門ともにセキュリティ意識が低く、セキュリティ対策に対する体制や予算が不十分です。
- 類型Ⅳ(セキュリティ意識は低いが、可能な限り対策をしている医療機関)の類型においては、経営層のセキュリティ意識が低いものの、情報システム部門が取りえる範囲での可能な対策をしています。
※クリックまたはタップして拡大表示できます
サイバーセキュリティ強化に向けたデロイト トーマツのサービス・取り組み
デロイト トーマツでは、医療機関のサイバーセキュリティ強化について主に下記のサービス・取組みを行っています。
(1)情報セキュリティアセスメントサービス
「医療情報システムの安全管理に関するガイドライン」等のサイバーセキュリティに係る各種基準を基に、医療機関のサイバーセキュリティ状況を評価し、課題・リスクを抽出します。デロイト トーマツは、特定のソリューションに偏ることなく、医療機関のサイバーセキュリティ対策の状況を中立・公正に評価を行います。
※クリックまたはタップして拡大表示できます
セキュリティ対策が十分もしくは不安がある医療機関において、内部のリソースが不足している場合や、より専門的・客観的な評価を行いたい場合に有効なサービスとなります。
(2)サイバー攻撃被害額算出の取組み
サイバーインシデントのリスクを認識してもらうため、医療機関がサイバー攻撃を受けた場合に想定される被害額を算出・見える化する取組みを行っています。
(3)サイバーインシデント対応総合サービス
インシデントが発生すると、院内関係者への連絡、患者・関係者・監督官庁への連絡・報告、メディア対応、法的対応、ウイルスの封じ込め・除去・回復や侵入経路・被害範囲の調査、再発防止策立案等の各種対応が必要となります。これらサイバーインシデント発生時の対応・リスク低減を目的とした総合的なサービスを提供しています。
おわりに
デロイト トーマツグループでは、医療機関のサイバーセキュリティ強化に係る多様なサービスを用意しています。医療機関のサイバーセキュリティ強化に係る課題対応等お悩みがありましたら、ぜひ気軽にご相談ください。
執筆
有限責任監査法人トーマツ
リスクアドバイザリー事業本部 ヘルスケア
※上記の部署・内容は、掲載日時点のものとなります。2023/08
関連サービス
ライフサイエンス・ヘルスケアに関する最新情報、解説記事、ナレッジ、サービス紹介は以下からお進みください。
ライフサイエンス・ヘルスケア:トップページ
■ ライフサイエンス
■ ヘルスケア
ヘルスケアメールマガジン
ヘルスケア関連のトピックに関するコラムや最新事例の報告、各種調査結果など、コンサルタントの視点を通した生の情報をお届けします。医療機関や自治体の健康福祉医療政策に関わる職員様、ヘルスケア関連事業に関心のある企業の皆様の課題解決に是非ご活用ください。(原則、毎月発行)
>記事一覧
メールマガジン配信、配信メールマガジンの変更をご希望の方は、下記よりお申し込みください。
>配信のお申し込み、配信メールマガジンの変更
お申し込みの際はメールマガジン利用規約、プライバシーポリシーをご一読ください。
