「病院はセキュリティ対策が必須って聞いたけど、どのように対策したら良いのだろう……」
「セキュリティ対策をするうえでのポイントを知りたい……」
このような疑問を抱えていませんか?
病院はセキュリティ対策が欠かせず、疎かにしてしまうと大きな被害が出てしまう可能性があります。
とくに、病院は医療情報や個人情報を取り扱うため、情報が漏洩してしまうと信頼性を失い経営が厳しくなりやすいです。
そこで本記事では、病院のセキュリティ対策について解説します。
病院のセキュリティ対策で悩んでいる方は、参考にしてみてください。
この記事の内容
病院のセキュリティ対策は欠かせない?
病院は、セキュリティ対策が欠かせず、怠ってしまうとウイルス感染やサイバー攻撃を受ける可能性があります。
とくに、病院は患者の氏名や住所、診療記録・検査結果など、高度な個人情報を取り扱います。
その情報が漏洩してしまうと、不正利用や患者のプライバシー・生命に直結する可能性があるため、注意が必要です。
また、厚生労働省は医療情報システムの安全管理に関するガイドラインを公表しています。
ガイドラインに沿った運用が必要で、目的別に編成された構成・クラウドなどの導入などが促されています。
過去に発生した病院のセキュリティ被害事例
過去に発生した病院のセキュリティ被害は、5つあります。
- ランサムウェアによる被害
- ストレージ装置盗難・紛失事件
- IoT機器による脆弱性攻撃
- 内部からの情報漏洩
- ウイルス感染による情報漏洩
それぞれの被害内容について解説します。
ランサムウェアによる被害
病院で発生したセキュリティ被害では、ランサムウェアによる被害が挙げられます。ランサムウェアとは、サイバー攻撃に使われるコンピュータウイルスの一種で、感染するとファイルを勝手に暗号化されてしまいます。
2021年には、徳島県の徳島県つるぎ町立半田病院がランサムウェア攻撃を受け、電子カルテが使用不能になりました。
新規入院の受入停止や、外来制限などの診療に大きな影響が出てしまっています。
参照:徳島県つるぎ町立半田病院
ストレージ装置盗難・紛失事件
ストレージ装置盗難・紛失事件は、病院のセキュリティ対策が甘いと起きやすいです。医療情報が保存されているハードディスクや、USBメモリなどの物理媒体が、紛失・盗難により外部に流出するリスクがあります。
実際に、2019年には九州大学病院で、取引している企業の従業員が、患者情報をUSBメモリーに複製してUSBメモリーにて持ち出している事件が発生しました。
取引している企業からの盗難・紛失などの被害を受ける可能性もあるため、入念にセキュリティ対策を行う必要があります。
参照:九州大学病院
IoT機器による脆弱性攻撃
心電図モニタや点滴ポンプなどの医療機器がネットワークに繋がっている状態で、セキュリティ対策が脆弱だとサイバー攻撃を受ける可能性があります。
海外では、植え込み型医療機器にサイバー攻撃の脆弱性があると警告を受けた会社もあります。
攻撃者が不正にアクセスすると、ペースメーカーの作動に影響する可能性があり、患者の生命リスクに直結すると指摘されました。
医療機関で使用するIoT機器のセキュリティが脆弱だと、患者の命に関わるサイバー攻撃を受ける可能性があるため、注意が必要です。
内部からの情報漏洩
病院のセキュリティに関する被害では、職員や委託業者による不正利用・誤操作が原因で情報が流出してしまうケースもあります。
外部攻撃だけでなく、内部不正が原因で漏洩してしまうケースも少なくありません。
たとえば、看護師や医師が診療情報を持ち出し、無断で研究に利用している事例もあります。
内部者の意図的な情報持ち出しは、システム防御だけでは防ぎにくいため、さまざまな点に気をつける必要があります。
ウイルス感染による情報漏洩
病院のセキュリティ被害では、ウイルス感染による情報漏洩が挙げられます。
病院職員のパソコンがウイルスに感染し、患者データや認証情報が外部に送信されてしまうケースがあります。メール添付ファイルや不正サイト閲覧が原因になることが多いです。
2015年には東京の医科大学で、職員のPCがウイルス感染してしまい、患者情報が外部に送信された可能性があるという発表がありました。
感染源はウイルス付きメールとされ、セキュリティ教育やフィルタリングの重要性が浮き彫りになりました。
病院が行うべき8つのセキュリティ対策
病院が行うべきセキュリティ対策は、8つあります。
- カルテや診療記録等の患者情報の保護
- 誰がどこまで閲覧できるかのアクセス権限管理
- アクセスログの管理
- ネットワーク構築とシステム制御
- ウイルス・ランサムウェア対策システムの導入
- 盗難・閲覧防止のための物理的なセキュリティ
- 職員への教育や研修
- インシデント対応体制の整備
それぞれの行うべきセキュリティ対策について解説します。
カルテや診療記録等の患者情報の保護
セキュリティ対策を行うときは、カルテや診療記録等の患者情報を保護しましょう。
患者の氏名や住所、病歴・検査結果などは、医療情報の中でも最もセンシティブな情報です。
対策として、電子カルテを暗号化して保存をし、USBメモリなど外部媒体にコピーする場合は自動暗号化を使うようにしましょう。
誰がどこまで閲覧できるかのアクセス権限管理
病院のセキュリティ対策を行うときは、誰がどこまで閲覧できるかのアクセス権限管理をしましょう。
すべての職員が、全データにアクセスできる状態は危険です。
たとえば、事務職員は請求業務に必要な情報のみ閲覧できる状態にしましょう。
アクセスログの管理
アクセスログの管理は、病院のセキュリティ対策として重要です。
アクセスログを付けておくことで、誰がいつどの情報にアクセスしたかを記録します。
対策として、電子カルテの閲覧ログを自動で記録し、定期的に監査するのが好ましいです。
ネットワーク構築とシステム制御
医療システムは、外部ネットワークからの侵入を防ぐ仕組みが欠かせません。
たとえば、外来患者用のWi-Fiと病院システムを分離したり、ファイアーウォールを導入して不正通信を遮断したりする方法が挙げられます。
ランサムウェア攻撃や不正アクセスを防ぐために、ネットワーク構築とシステム制御は意識しましょう。
ウイルス・ランサムウェア対策システムの導入
病院のセキュリティ対策として、ウイルスやランサムウェア対策のシステムを導入しましょう。
病院が扱う電子カルテや検査データは、氏名や住所、遺伝情報など、非常に機密性の高い情報が含まれています。
たとえば、使用しているPCがウイルス感染してしまうと、情報が漏洩してしまうリスクがあります。
機密性の高い情報を流さないためにも、ウイルス・ランサムウェア対策システムの導入を考えてみてください。
盗難・閲覧防止のための物理的なセキュリティ
病院のセキュリティ対策をするときは、盗難・閲覧防止のための、物理的なセキュリティもチェックしましょう。
ITシステムだけでなく、ハードディスクや紙の資料も守る必要があります。
たとえば、サーバールームをカードキーや監視カメラで入退室制御するのがおすすめです。
ほかにも、ノートPCをケーブルロックで固定したり、紙のカルテを施錠された書庫で保管したりするのも検討してみてください。
職員への教育や研修
職員への教育や研修は、病院のセキュリティ対策として大切です。人のミスや不注意が、情報漏洩の原因になることが多いです。
具体例を挙げると、フィッシングメールの見分け方を演習したり、USBの持ち出し禁止ルールを徹底したりすると良いでしょう。
ほかにも、定期的にセキュリティ研修を実施するのがおすすめです。
インシデント対応体制の整備
病院のセキュリティ対策をするときは、インシデント対応体制の整備を行いましょう。
攻撃や情報漏洩が起きたとき、対応体制が事前に整えているかが重要になります。
たとえば、通報ルートをマニュアル化したり、事前継続計画に基づいて、バックアップから迅速に復旧したりすると良いでしょう。
病院のセキュリティ対策で意識したい5つのポイント
病院のセキュリティ対策で意識したいポイントは、5つあります。
- 物理的なセキュリティ
- 情報セキュリティ
- システムの安全対策
- 人的セキュリティ
- 緊急対応と復旧計画
それぞれのポイントについて解説します。
物理的なセキュリティ
病院のセキュリティ対策をするときは、物理的なセキュリティを意識しましょう。建物や設備そのものを守り、不正な持ち出しや盗難を防ぐ必要があります。
たとえば、サーバールームをカードキーまたは指紋認証で入退室管理をするのがおすすめです。
ほかにも、監視カメラの設置で、普請行動を記録するのも一つの手段です。物を盗まれない仕組みを作ることが重要になります。
情報セキュリティ
病院のセキュリティ対策をする際は、情報セキュリティも大切です。患者情報や診療データを盗まれない・漏れない・改善されない状態を作る必要があります。
電子カルテを暗号化して保存したり、データをやり取りするときは、VPNやSSL通信で保護したりすると良いでしょう。
USBメモリ使用を禁止し、どうしても必要な場合は、自動暗号化USBを利用するのがおすすめです。
システムの安全対策
病院のセキュリティ対策をする際には、システムの安全対策も重要なポイントです。ネットワークや医療機器など、システム全体をサイバー攻撃から守るようにしましょう。
たとえば、ウイルス対策ソフトや、EDRを導入し、端末を常時監視できる状態にするのがおすすめです。
ほかにも、システムを常に再診パッチを適用して、脆弱性を放置しないようにしましょう。
人的セキュリティ
病院のセキュリティ対策をするときは、人的セキュリティも大切なポイントです。職員一人ひとりの行動がセキュリティの質を左右します。
定期的に、セキュリティ研修を実施したり、ID・パスワードを他人と共有しないルールを徹底したりするのがおすすめです。
また、不審な行動やインシデントを、すぐに報告できる体制を整えるのが良いでしょう。
緊急対応と復旧計画
緊急対応と復旧計画は、病院のセキュリティ対策として重要です。万が一攻撃を受けても、被害を最小限にして診療を継続します。
インシデント対応マニュアルを整備し、誰がどう動くか明確にすると良いでしょう。
電子カルテやシステムを定期的にバックアップし、オフラインで保管するのもおすすめです。
医療機関・病院でサイバー攻撃を受けた際には厚生労働省に報告
医療機関・病院で、サイバー攻撃を受けた際には、厚生労働省に報告しましょう。
厚生労働省への報告は、医療情報システムの安全管理に関するガイドラインに表記されており、厚生労働省などの所管省庁への連絡・必要な対応を行うことが示されてます。
また、サイバー攻撃によって個人情報などが漏洩したおそれが発生した場合、個人情報保護委員会に報告する必要があります。
まとめ:病院はセキュリティ対策の構築や強化が重要!
病院は、セキュリティ対策の構築や強化が重要で、怠ってしまうと情報漏洩リスクがあります。
医療機関は患者の氏名や住所、診療内容や結果など、機密性の高い情報を多く扱っています。
万が一情報が漏洩してしまうと、病院の信頼性を失うだけでなく、患者の命に直結する可能性もあるため、注意が必要です。
病院のセキュリティ対策で悩んでいる方は、本記事で紹介した内容を参考にしてみてください。
