医療機関の経営者にとっての情報セキュリティ

医療分野における最近の情報セキュリティインシデントの概観

今後想定される情報セキュリティ・インシデントリスク

2024年度からの医師への残業時間上限規制の適用、地域における急性期病床の再編など外部環境の変化に応じて、医療機関は経営的な観点からクラウドやネットワーク連携等のICTの活用を課題解決の選択肢とすることが今後予想されます。ICTの活用は多くの課題を解決する一方で、新たな情報セキュリティ・リスクへの対処も必要となります。　例えば、病院職員が院外でパソコンやスマートデバイス（タブレットやスマートフォン等）により診療情報を含む病院の情報を閲覧することが考えられます。この場合、システム上の仕組みにもよりますが、データの流出、端末の紛失、情報を覗き見される等のリスクが高くなります。

また、院内及び院外を結んだビデオ会議の活用が増えることが考えられます。ビデオ会議では、通常の会議と同様に重要な情報や資料をやり取りするため、会話や資料の情報が窃取されるリスクがあります。医療機関では、ビデオ会議システムは診療系ネットワークと異なるセグメントに置かれることが多いため、セキュリティレベルが緩くなり、システム管理者が会議システムの管理者画面を気づかないうちに外部に公開しているといったインシデントが発生しています。

情報セキュリティ・インシデントの類型

情報セキュリティ・インシデントは、（１）外部事業者等によるミス、（２）職員によるミス、（３）内部不正、（４）外部からの攻撃に大きく分けられます。最近は特に「（４）外部からの攻撃」が増加しています。各分類の概要は下記のとおりです。

(１)外部事業者等によるミス

委託先事業者等の院外の者による、意図しない行動により発生する情報セキュリティ・インシデント。

(２)職員によるミス

院内職員による、USBメモリの紛失やメールの誤送信等の意図しない行動により発生する情報セキュリティ・インシデント。

(３)内部不正

院内職員や委託先事業者等の医療機関内部の者による、機密情報や個人情報の持出し等の意図的な行動により発生する情報セキュリティ・インシデント。

(４)外部からの攻撃

ハッカー等外部の者による、ウェブサイトやメールを経由した攻撃等意図的な行動による情報セキュリティ・インシデント。

・医療分野における最近の情報セキュリティインシデントの類型

主な情報セキュリティインシデントの事例

国内では、医療機関でもランサムウェア（使用しているコンピュータを強制的にロックしたり、データやファイルを暗号化して、元の状態に戻すことと引き換えに身代金を要求してくる不正プログラム）等のウィルス感染により、診療業務に支障が生じたり、診療業務を停止せざるを得ない事例が複数発生しています。

海外に目を転じると、下記のようにウィルス感染による業務停止や個人情報の流出が発生しています。

(主な医療分野における海外の情報セキュリティインシデント事例）

2017年　英国NHS

•  英国の国営医療サービス組織であるNHS（国民保健サービス：National Health Service）は、世界的に被害を引き起こしたマルウェア「WannaCry」により、傘下261組織のうち81の医療機関等で救急部門を含む業務の停止、検査結果の受領不能など医療サービスが提供できなくなった。

2014年　米国の大手民間病院チェーン

• 米国の複数の州で病院経営を行う大手民間病院チェーンは、サーバーのぜい弱性（オープンソースのSSL／TLS実装ライブラリ「OpenSSL」のぜい弱性「ハートブリード（Heartbleed）」）を利用した攻撃を受けた。約450万人分の患者の個人情報（氏名、住所、生年月日、電話番号、社会保障番号　等）が流出し、全米各地で民事責任を追及する集団訴訟が提起された。

国内では、診療情報が流出する情報セキュリティ・インシデントは公表されていませんが、今後、院外との接続が増加してくると、海外で既に発生しているような診療情報の流出インシデントが発生する可能性があります。

経営リスクとしての情報セキュリティリスク

医療機関で情報セキュリティ・インシデントが発生した場合、診療業務を提供できなくなる事態や患者の診療情報の流出等が発生します。当該医療機関が地域の中核病院であった場合、診療業務を提供できなくなると、地域住民及び関係者へ多くの混乱をもたらします。病院経営の観点から見ると、診療業務の停止は医業収入の減少に直結します。また、個人情報を含む診療情報の流出は、当該医療機関のブランド価値が棄損するとともに、患者からの損害賠償請求のリスクも孕んでいます。そのため、情報セキュリティリスクは、他の事業リスクと同様に経営リスクとして捉え、リスクポートフォリオ（リスクの構成状況）の中で優先順位・重要度の濃淡をつけて投資・コスト費用の配分を行う必要があります。

経営リスクポートフォリオに位置付けるにあたり、情報セキュリティ・インシデントが発生した場合の具体的な被害金額想定が必要となる場合もあるでしょう。その場合は、日本サイバーセキュリティイノベーション委員会のレポート「取締役会で議論するためのサイバーリスクの数値化モデル」が算出根拠として参考となります。なお、医療機関の場合は、個人情報の流出リスク以上に、診療業務の停止による患者への影響を第一に考える必要があります。

・経営リスク評価（例）

組織における情報セキュリティ対策の評価方法

２つの情報セキュリティ対策評価アプローチ

情報セキュリティ・インシデントを経営リスクとして位置付けた上で、自組織でどれほど情報セキュリティ対策が必要かを評価する方法について述べます。

情報セキュリティ評価方法には、大きく２つの方法があります。ベースライン・アプローチとリスクベース・アプローチです。実際の情報セキュリティ評価では、両アプローチのメリット・デメリットを勘案して２つのアプローチを組み合わせて情報セキュリティ対策評価を行うことが多いです。

・情報セキュリティ対策評価のアプローチ方法

ベースライン・アプローチ

ベースライン・アプローチは、業界標準やガイドライン等を基準として情報セキュリティ対策の評価を行う方法です。評価観点や評価項目が明示されているため評価しやすいというメリットがあります。一方で、特定のリスクに焦点を絞った深い分析ができないというデメリットがあります。

（医療分野におけるベースライン）

ベースライン・アプローチに用いる医療情報分野における情報セキュリティ基準としては、厚生労働省の「医療情報システムに関する安全管理ガイドライン 第5版」（2017年5月）（以下、「厚労省ガイドライン」と言います」）があります。厚労省ガイドラインは、2000年代に電子カルテが開発されるようになったきっかけである1999年4月の厚生労働省通知「診療録等の電子媒体による保存について」（真正性，見読性，保存性の確保等の一定の基準を満たした電子媒体への保存であれば診療録等を紙の記録に替えて電子媒体に保存してよいとする）、2002年3月の厚生労働省通知「診療録等の保存を行う場所について」（真正性，見読性，保存性の確保や、病院が適切に管理できる場所におくこと等の基準を満たす場合に電子媒体へ保存した診療録等の外部保存を認める）に基づき作成されたガイドラインを統合して2005年3月に第1版が作成されました。その後、情報技術の進化や情報セキュリティ政策の改定に合わせて改訂され現在に至っています。

また、医療機関が利用しているサービスや事業者に合わせて、厚労省ガイドライン以外の情報セキュリティ基準を用いることも必要となります。医療情報を扱うクラウドサービス事業者に対しては総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン 第1版」（2018年7月）（以下、「総務省ガイドライン」と言います」）、医療情報を受託する情報処理事業者に対しては経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン 第2版」（2012年10月）（以下、「経産省ガイドライン」と言います」）が情報セキュリティ基準となります。なお、総務省ガイドラインと経産省ガイドラインは今後統合される予定となっています。

リスクベース・アプローチ

リスクベース・アプローチは、リスク分析を行い情報セキュリティ対策の評価を行う方法です。特定のリスクについて、シナリオ、情報資産・システムの価値、脅威、ぜい弱性の観点等からリスク分析を行う方法です。

情報セキュリティリスクの評価要素である「ぜい弱性」について説明しておきます。ぜい弱性は、評価要素の中で唯一、情報セキュリティ対策によりリスクを直接的に低減できる要素となります。リスクのある情報自体を保持しないことや、データに対するアクセス権限の設定等の情報セキュリティ対策により情報セキュリティインシデントリスクの影響度、発生確率をコントロールできるからです。ぜい弱性のレベルは、情報セキュリティリスクの大きさを評価した上で、情報セキュリティリスクを組織が求める一定水準以下に抑えるよう、費用対効果を踏まえて決定していくことが重要です。

リスクベース・アプローチは、ベースライン・アプローチに比べて、各リスクについて深い分析ができますが、分析に当たって経営、業務、情報技術、情報セキュリティ分野についての知識が必要となり手間や時間を要します。

・情報セキュリティリスク評価の数式イメージ

おわりに

本稿では、最近の医療分野における情報セキュリティ・インシデントの状況の概観、情報セキュリティ・インシデントリスクの位置付け方、組織における情報セキュリティ対策の評価方法を紹介しました。医療機関の経営者は自組織の情報セキュリティ対策の状況を把握した上で、事業リスクポートフォリオの中で情報セキュリティ対策に対する投資・コスト負担について意思決定することが必要となります。本稿がその判断を行う際の一助となれば幸いです。