医療機関に忍び寄るサイバーリスクの変化と対応

サイバーリスクの現状

近年、医療機関や関連する医療情報システムベンダーの情報システムにおいて、外部からの攻撃によるセキュリティ事故の報告が増えつつあります。

2018年に、国内医療機関でランサムウェア感染による医療情報システムの暗号化事件が発生しましたが、その後も継続的に医療機関におけるランサムウェア被害が報告されています。他方、医療機関の外では、官公庁向けのシステムを手掛ける大手システムベンダーがクラウド上で運用していたプロジェクト管理用システムが不正アクセスの被害にあったことで、同社の電子カルテを導入していた医療機関にも同システムの停止による影響が及びました。

このように、近年は医療機関内部のみならず、医療機関にシステムを提供するベンダーで起こった情報セキュリティ事故等も業務に影響を与えるようになってきています。しかしながら、医療機関の方に「電子カルテと繋がっている検査システム・検査機器は、外部からオンラインでメンテナンスが行われていませんか」「電子カルテネットワーク上のPCは全てUSBメモリなどの外部媒体が利用不可能となっていますか」といった質問をすると、「完全に把握できていない」「現場の契約では、そのようなことがあるかも知れない」といったように、十分な現状把握・対策に取り組めずにいる状況が残っているようです。

本稿では、あらためて最近の医療機関を取りまく情報セキュリティ事情を振り返り、院外からの攻撃（サイバーリスク）への備えも含めたサイバーセキュリティ対策の在り方を確認します。

セキュリティの観点として、情報流出以外も考慮する

「医療機関における情報セキュリティ対策」と聞くと、個人情報の流出・漏洩対策といったイメージを抱く方が多いかも知れません。しかしながら、近年は外部から侵入してシステムそのものを停止させたり、診療データを暗号化したりすることで、いわば診療業務自体を人質にして身代金を要求するといった手口の攻撃が増加しています。

多くの医療機関では、既に電子カルテ・オーダーエントリーシステムが診療業務に不可欠なものとなっており、突発的なシステムの停止による診療の停止は、現場の混乱と同時に、時として患者の健康被害に発展してしまう可能性もあることは、年に数回、報道でも流れている通りです。

このような近況も踏まえると、医療機関における情報セキュリティ対策は、従来からの患者個人情報を守る対策に加えて、外部からの攻撃にも注意を払うことで診療機能・診療の継続性を守る、という観点での対策も必要であることは、改めて確認しておく必要があるでしょう。

院内の対策だけではなく、院外からの侵入も考慮する

情報セキュリティの観点において、診療の継続性を意識する際には、情報セキュリティ対策も従来の「院内→院外」を基本にした、情報流出対策だけでなく「院外→院内」の侵入対策を含めた、サイバーセキュリティ対策としての見直しが必要となることは先に述べた通りです。

とはいえ、院外からの攻撃手法は年々複雑化・広範囲化しています。メールに添付されたり、インターネットから気づかずにダウンロードした悪意あるプログラムによる被害を受けたりといった従来型のもの以外にも様々な手法・リスクが拡大しています。それに加えて、業務・システムが複雑化する中では、院内ガバナンスの不備から来る綻びと結びつくことで大きな被害に繋がることがあります。

冒頭に記載した、ランサムウェアに感染した医療機関の例では、人物の特定には至らなかったものの、電子カルテネットワークに接続しているPCを許可されていない無線LANルーター等に接続した結果、インターネット空間と一時的に繋がり、ウィルス感染の契機となった可能性が、後の有識者会議の報告書で示唆されています。

　意図せぬ抜け穴ができてしまうことで、外部からの侵入を許す事例以外にも、医療機関でも利用が始まっている各種クラウドサービスや、委託しているシステムベンダーの保守用ネットワークやUSBメモリの利用といった、外部との接点は常に存在しており、これらの接点が脅威に変わる可能性は常に考慮に入れておく必要があるでしょう。

図表1　情報セキュリティインシデントの分類

このような、外部ネットワークとの接続を前提とした安全管理対策は、2021年に改訂された「医療情報システムの安全管理に関するガイドライン　第5.1版（令和3年1月）」でも求められていますので、確認されることをお勧めします。

具体的な対策

サイバーセキュリティの被害状況は、例えば米国では、情報漏洩の報告義務化（HIPAA法およびHITECH法）により共有されています。一方、国内医療機関でのサイバーセキュリティ事故は、まだまだ報告例が少なく、その実態が不明瞭です。そのため、医療機関も実際に脅威がすぐそこに迫っていることに気づきにくいという事情はあります。しかしながら、ここまで述べてきたように、既に好むと好まざるとに関わらず、医療機関は内部に注意を払うだけでは足りず、外部からのサイバー攻撃に巻き込まれるリスクにさらされています。

それでは、医療機関自身が厳しい経営環境の中であっても、患者の情報を守り、診療の継続性を確保するために、高度化するセキュリティリスクに対応し、最善の選択を取り続けるために、どのような努力を続ければ良いのでしょうか。

その一助とするため、厚生労働省では、 医療分野のサイバーセキュリティ対策について　というホームページを公開し、医療従事者（経営層・システム管理者層・一般層）に向けて、教育コンテンツなどを公開しています。

このホームページでは、医療機関における様々なセキュリティ事情や、医療機関の職員が注意すべきポイントを整理した研修資料や動画、理解度テスト等が提供されています。

図表２　研修資料の一例

本稿でも記載したような複雑化するセキュリティ事情や対応するガイドライン、また、院内の体制構築などを体系立てて理解できるようになっていますので、「医療情報システムの安全管理に関するガイドライン」と合わせて、確認されることをお勧めします。

その上で、技術的な対策や組織としての対策を見直しも検討してみてください。当法人でも、医療機関向けの情報セキュリティ・ガバナンスの構築・見直しを技術面・組織面の両面からご支援させて頂きます。