医療機関におけるICT-BCP策定のポイント

医療機関におけるICT-BCP整備の必要性

近年、医療機関に対するサイバー攻撃が増加・巧妙化していることから、ICT-BCPが注目されています。

ICT-BCPとは

ICT-BCP（Information and Communication Technology-Business Continuity Plan）は、サイバーインシデントを想定した事業継続計画となります。
ICT-BCPは、有事の際に、適切な対応・連絡を迅速に行うための計画となり、厚生労働省の「医療情報システムの安全管理に関するガイドライン」（以下、「ガイドライン」とする）（https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html）では、ICT-BCPの整備にあたり下記点等を検討することを求めています。

• 非常時における業務継続の可否の判断基準
  
• 継続する業務内容の選定等に係る意思決定プロセス
  
• 医療情報システムの適切な復旧手順
• 復旧手順の自己点検
• 通常時からの定期的な訓練・演習の実施

医療機関でICT-BCPが整備されていると、サイバーインシデントが発生した場合、医療提供の縮小・停止を最小限に抑えることに役立ちます。

国によるICT-BCP整備の推進及び支援

国も医療機関に対してICT-BCPの策定を求めています。厚生労働省のガイドラインで、医療機関は情報セキュリティインシデントの発生に備えて、ICT-BCPを整備することが求められています。

ICT-BCPの整備は、医療法第25条第1項に基づく医療機関への立入検査で確認される「医療機関等におけるサイバーセキュリティ対策チェックリスト」のチェック項目の一つとなっており、医療機関は2024年度（令和6年度）中にICT-BCPを策定することが求められています。厚生労働省は、医療機関のICT-BCPの整備を支援するために厚生労働省のホームページで医療情報システム部門等におけるICT-BCPのひな型を公開しています。（https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html）

ICT-BCPを策定する際のポイント （サイバー攻撃被害と災害被害との違いから）

ICT-BCPの特徴について、サイバー攻撃被害と大規模災害被害との相違から解説します。
下記の表にサイバー攻撃と大規模災害の想定被害を、環境、リソースの観点から整理しました。

サイバー攻撃被害と大規模災害被害の違い

サイバー攻撃被害発生時と大規模災害発生時の被害の相違について、上の表から下記の点が分かります。

環境における相違

医療機関の位置づけや患者の流れといった環境の観点から見ますと、大規模災害時には地域の医療機関は一斉に傷病者対応の中心となり、傷病者が運び込まれる等の対応を求められます。一方、サイバー攻撃被害を受けても、対外的な発表をするまでは地域における医療機関の役割が変わることや患者の流れが変わることはありません。

リソースにおける相違

経営リソースや社会リソースという観点から見ますと、大規模災害時には職員自体が被災をしてしまい、勤務ができない事態が発生します。また、大規模災害により機器や建物が損壊し、機器の損壊の中でシステムのデータ損失が発生することもあります。社会インフラも打撃を受けますので、停電、断水、交通網の切断等の目に見える物理的な被害を多く受け、食料品や物品調達が困難となります。

一方、サイバー攻撃被害はマルウェア感染等によりデータの暗号化、改ざん等でシステム停止が発生するものの、患者や地域住民からの目に見える物理的な被害はない状況となります。

サイバー攻撃被害と災害被害との違いから導出されるICT-BCP策定のポイント

上記より、サイバー攻撃被害時は、電力、水道、交通網等の社会リソースの被害はないが、外来患者がいつもどおり来院する中、システム停止等に対応する必要があります。そのため、ICT-BCPは、システムの原因調査・復旧に向けた対応に加えて、患者への案内・声掛け、職員や関係各所への周知・連絡等のコミュニケーションを重視して策定する必要があります。

ICT-BCPを策定する際のポイント（医療機関の特徴から）

ICT-BCPは、医療機関特有の状況も考慮して策定する必要があります。例えば、医療機関は一般企業と異なり、入院や救急外来等が24時間365日稼働していることから、夜間、休日にサイバーインシデントが発生しても連絡・対応できる体制としておく必要があります。
また、地域の医療提供体制において重要な役割を占めている医療機関においては、サイバーインシデントに係らず診療を継続する運用・体制が求められます。

その他、医療機関の特徴から、ICT-BCP策定のポイントを例として導出すると下表のようになります。有事の際に使えるICT-BCPとするには、このようなポイントを押さえる必要があります。

医療機関におけるICT-BCP策定のポイント（例）

インシデントハンドリングの流れ

ICT-BCPにおいては、サイバーインシデントが起きた際の具体的な行動計画も策定しておく必要があります。

サイバーインシデントが起きた際の大きな流れとしては、事象の把握（検知/連絡受付）⇒当該インシデントに対する対応の重要度・優先度を決める（トリアージ）⇒原因究明や職員への周知等のインシデントへの対応（インシデントレスポンス）と対応が進んでいきます。サイバーインシデントが起きた際の対応の流れについては、JPCIRTコーディネーションセンターが発行している「CSIRTガイド」が参考となります。なお、CSIRTとは、Computer Security Incident Response Teamの略称で、組織で情報セキュリティ問題を専門に扱うチームとなります。

代表的なインシデントハンドリングの流れ

出所：JPCERTコーディネーションセンター、「CSIRTガイド」（https://www.jpcert.or.jp/csirt_material/operation_phase.html）

おわりに

本稿では、医療機関におけるICT-BCP策定のポイントについて概観しました。

デロイト トーマツ グループでは、医療機関のICT-BCP策定を含めたサイバーセキュリティ強化に係る多様なサービスを用意しています。医療機関のサイバーセキュリティ強化に係る課題対応等お悩みがありましたら、ぜひ気軽にご相談ください。