【医療情報システムの安全管理に関するガイドラインを読み解く】サイバー攻撃に備えるためには

【医療情報システムの安全管理に関するガイドラインを読み解く】 サイバー攻撃に備えるためには


近年、医療機関に対するサイバー攻撃は増加してきており、セキュリティリスクが高まっています。医療機関がサイバー攻撃を受けてしまうと、医療情報システムや電子カルテが使えなくなるなど、診療に支障が出たり、医療機関の信頼失墜を招いたりするケースもあり、その影響は甚大です。
本コラムでは、厚生労働省から発表されている「医療情報システムの安全管理に関するガイドライン」に沿って、具体的な事例の紹介と対策方法を解説していきます。

目次

電子カルテが使えない!ある日突然サイバー攻撃を受けたら

2021年10月、徳島県つるぎ町立半田病院は、ハッカー集団からのサイバー攻撃に遭い、医療情報システムが停止する事態に陥りました。
サイバー攻撃の内容は、データの復元と引き換えに金銭を要求してくるランサムウェアでした。このランサムウェアに同病院の電子カルテシステムが感染したことで、8万5,000人分の患者データにアクセスできなくなり、会計システムを使った診察費の請求もできなくなりました。一部の診療科を除いて、新規患者らの受け入れを中止する事態になったのです。

同病院ではハッカー集団との交渉には一切応じることなく、自力で従来のサーバーを復旧しています。その後、地域からの要望を受けて2021年11月中旬には小児科と産科を再開しており、会計システムや電子カルテシステムについても順次、使えるようになりました。
しかしサーバーが復旧するまでの約2カ月の間、一部の手術や救急搬送の受け入れができなくなりました。地域医療に対する影響は甚大なものです。

このような医療機関におけるランサムウェアによる被害は、2016年頃から世界的に目立つようになりました。国内でも、2018年以降にいくつもの病院が電子カルテと医療情報システムの停止に追い込まれています。

再流行、感染報告相次ぐEmotet

再流行、感染報告相次ぐEmotetEmotet(エモテット)は、これまで見つかったマルウェアの中でも感染力が非常に高いものです。このマルウェアは、取引先企業に存在する従業員などになりすましたメールから感染を広げ、感染先の重要な情報を盗み取っていきます。

Emotetは2019年11月頃にメディアで多く取り上げられて知られるようになりましたが、2021年1月にはユーロポール(欧州刑事警察機構)が大規模な対策を行ったことで、なりを潜めました。
しかし2021年11月には再びEmotetの活動が確認されており、2022年以降には日本国内における感染被害が急激に拡大しています。

医療機関が持つ患者情報や治療履歴などは資産価値が高い重要なデータです。しかしサイバーセキュリティ対策やサイバー攻撃に対する教育が行き届いていない医療機関も少なくないことから、攻撃対象として狙われやすいとされています。
サイバー攻撃による診療業務や会計業務などに影響を与える被害が相次いでおり、厚生労働省でも対応と注意喚起に追われています。今後はさらなる注意が必要です。

医療情報セキュリティガイドラインからみる「サイバー攻撃を受けた際の非常時の対応」

厚生労働省が2021年に発表した「医療情報システムの安全管理に関するガイドライン」の最新バージョン「第5.2版」では、「非常時やサイバー攻撃などに対して、的確に対応できるためにセキュリティ体制を医療機関などにおいても構築することが求められる」としています。

医療機関には、サイバー攻撃の被害に対する原因関係の調査、必要なセキュリティ対応などに関する指揮、所管官庁への報告体制を平常時から明確にしておくことが求められています。
一定規模以上の病院や地域で重要な機能を果たしている医療機関では特に、CISO(情報セキュリティ責任者)の設置や、緊急対応体制「CSIRT」(Computer Security Incident Response Team)を構築し整備していくことが強く要請されています。

サイバー攻撃による被害を最小限に抑えるためには

サイバー攻撃によって医療情報システムに障害が発生し業務が止まることを防ぐために、医療機関では以下のようなセキュリティ対策が必要です。

  1. 医療情報システムデータの入口・出口対策として、システムに対しファイアウォールやUTM(複数のセキュリティ対策を一元化する、統合脅威管理)、 IDS・IPS(不正侵入防止システム)を設置する
  2. 医療機関の公開サーバーや端末に対して、EDR(Endpoint Detection and Response)やふるまい検知などのエンドポイントセキュリティを実施する
  3. 不正利用、ふるまい検知などの内部対策として、医療情報システムにアクセスする際の二要素認証の導入やパスワードの強化を実施する
  4. ネットワークスイッチの脆弱性を突いたゼロデイ攻撃対策として、ネットワーク分離やネットワークスイッチのパッチ運用(セキュリティアップデート、ファームアップ)を実施する

上記のような対策に加え、スタッフに対するセキュリティ教育を最新の状況に合わせてアップデートしていくことも重要です。

まとめ:サイバー攻撃に狙われやすい医療機関。セキュリティ対策・教育が急務

これまで見てきたように、病院がサイバー攻撃を受け、電子カルテなどの医療情報システムが使えなくなる事態が増加しています。また、かつて猛威を振るったマルウェア「Emotet」の再流行も懸念されています。

厚生労働省も最新の「医療情報システムの安全管理に関するガイドライン」(第5.2版)において、病院などの医療機関がサイバー攻撃に対するセキュリティ体制を構築していくことを求めています。
医療情報システムがストップし、社会的に大きな影響を与えることがないよう、医療機関でもサイバー攻撃に対抗するセキュリティ対策やセキュリティ教育の体制を確立していくことは急務だといえるでしょう。

次回のコラムでは、セキュリティ対策マップを用いて、セキュリティの脆弱性ポイントと対策について解説します。

ガイドラインへの対応はシーイーシーにご相談を

「医療情報システムの安全管理に関するガイドライン」に関する理解は深まりましたでしょうか。株式会社シーイーシーでは、医療機関などがガイドラインに対応するための各種サービスを展開。ぜひ、これを機会にご相談いただければ幸いです。

関連サービス情報

お問い合わせ
  • URLをコピーしました!
目次