「病院でのセキュリティ対策ってどうやるんだろう?」
「病院でサイバー攻撃を受けてしまったらどう対処すれば良い?」
このようなお悩みを抱えている方は少なくないでしょう。
後ほど紹介しますが、近年は医療機関へのサイバー攻撃の件数が増えているので、特に注意が必要です。
そこで、今回はサイバー攻撃の現状を解説しながら、病院でのセキュリティ対策を解説します。
記事の後半では、実際にサイバー攻撃を受けてしまった際の対処法も解説しているので、併せて確認しておきましょう。
この記事の内容
病院に向けて行われるサイバー攻撃
東京新聞の記事(https://www.tokyo-np.co.jp/article/184417)によると、2016年から2022年までの間に、少なくとも17件の医療機関向けのサイバー攻撃が起きています。
なお、そのうち6年が2022年に集中しており、病院をはじめとした医療機関へのサイバー攻撃に対し、危機感を強める必要があります。
一般社団法人医療ISACの調査(https://m-isac.jp/wp-content/uploads/2022/04/FinalReport_202220331.pdf)によると、およそ9割の医療機関がサイバー攻撃への脅威を感じているものの、約半数の医療機関がセキュリティ予算が十分ではないと感じています。
この状況を鑑みて、医療機関は今後、サイバー攻撃に最大限に備えるようにしなければなりません。
病院で行うセキュリティ対策が不十分な場合に起こりうる情報セキュリティインシデント
ここでは、病院で行うセキュリティ対策が不十分な場合に起こりうる情報セキュリティインシデントについて解説します。
情報セキュリティインシデントは、主に以下の4つのパターンが考えられます。
- 外部の業者によるミス
- 内部の職員によるミス
- 内部・外部による不正
- 外部からの攻撃
1つずつ解説します。
外部の業者によるミス
1つ目に考えられるのは、外部の業者によるミスです。
病院のネットワークはクローズドなネットワークなので、あまり侵害されるイメージがつかないかもしれません。
しかし、クラウドサービスや保守事業者などとの接続回線からは侵害されてしまう可能性が大いになります。
もし侵害されてしまうと、データの窃取、漏洩、破壊などの侵害行為が行われてしまうので注意してください。
内部の職員によるミス
2つ目に考えられるのは、内部の職員によるミスです。
内部の職員が接続回線等を破壊することは考えられませんが、USB機器や端末等を紛失してしまう可能性があります。
それにより、情報漏洩をする可能性がある十分に考えられるので注意してください。
内部による不正
3つ目に考えられるのは、内部による不正です。
USB機器や端末等を意図的に持ち出し、情報流出をしてしまう可能性が十分考えられます。
2つ目の例とほぼ同じですが、意図していても意図せずでも、USB機器や端末等が外部へ持ち出されないような対策が必要です。
外部からの攻撃
4つ目に考えられるのは、外部からの攻撃です。
いわゆるウイルス感染がこれにあたります。
ウイルスに感染してしまうと、端末がロックされたりファイルが暗号化されたりしてしまうため、端末が使えなくなってしまいます。
また、ある端末が感染してしまうと、他の端末にも拡大する恐れがあるので注意してください。
病院で行うべきセキュリティ対策
ここでは、病院で行うべきセキュリティ対策を4つの観点から解説します。
- 組織的対策
- 人的対策
- 技術的対策
- 物理的対策
厚生労働省の資料「医療機関を取り巻く情報セキュリティ対策の現状」(https://www.mhlw.go.jp/content/10808000/000644753.pdf)を参考に、それぞれどのような対策をすべきか見ていきましょう。
組織的対策
1つ目は組織的対策です。
組織的対策ですべきなのは、大きく分けて以下の2つです。
- 情報システム部門の設置、体制強化
- 情報システム等に係る規定の策定
組織的に取り組むために、情報を取り扱う部門を設置することが大切です。
また、情報に関する規定を策定することで、情報漏洩する確率が低くなるでしょう。
人的対策
2つ目は人的対策です。
人的対策ですべきなのは、大きく分けて以下の3つです。
- 情報システム部門との情報共有の強化
- 職員への教育訓練
- 外部委託先の管理
特に「職員への教育訓練」にて、情報の取り扱いについて、認識を深めてもらうことが非常に大切です。
また、外注している部分があれば、外注先でも同様の対策が行われているのかの確認を必ずしましょう。
技術的対策
3つ目は技術的対策です。
技術的対策ですべきなのは、大きく分けて以下の2つです。
- ファイアウォール、ウイルス対策ソフトの導入
- 定期的なログの確認・分析
ウイルス対策ソフト等は100%の効果があるとは言い切れませんが、大きな効果をもたらしてくれることは間違いないでしょう。
また、定期的にログを確認・分析することで、突然の異変に気づきやすくなります。
物理的対策
4つ目は物理的対策です。
物理的対策ですべきなのは、大きく分けて以下の3つです。
- 入退館の管理
- 重要な端末等への盗難防止用チェーンの設置
- 端末等の覗き見防止等の対策
院内タブレット端末やUSBメモリなどを外に持ち出さないために、入退館の管理を徹底したり盗難防止用のチェーンをつけたりすることが考えられます。
また、覗き見を防止するためにフィルムを貼ることなども対策として挙げられるでしょう。
病院でサイバー攻撃を受けた際の対応方法
では、実際に病院でサイバー攻撃を受けてしまった際、どのように対応すれば良いのでしょうか?
厚生労働省「医療情報システム等の障害発生時の対応フローチャート」(https://www.mhlw.go.jp/content/10808000/000844703.pdf)をもとに以下の4つの段階に分けて解説します。
- 異常時の検知
- 初動対応
- 復旧処理
- 事後対応
異常時の検知
まずは、異常時の検知をした際の解説をします。
異常時の検知をした際の対応は、以下の2つです。
- ケーブル等の切離
- 医療情報システム安全管理責任者へ連絡
ウイルス感染の疑いがある場合にはケーブル等の切離をします。
その後、医療情報システム安全管理責任者へ異常の内容、発生日等について報告してください。
初動対応
続いて、初動対応の解説をします。
- 原因・被害調査
- 各所への報告
- 証拠保全
まずは、事業者に依頼し原因や被害の調査をします。
なぜサイバー攻撃を受けてしまったのか、またどのくらいの被害があるのかを確認しましょう。
また、サイバー攻撃をされてしまったことを医療従事者や利用者、厚生労働省、警察などへ報告します。
さらに、証拠保全もしてください。
自ら証拠保全が難しい場合は事業者に依頼しましょう。
復旧処理
次に、復旧処理の解説をします。
復旧処理にて行う対応は、以下の2つです。
- 業者へ修理の依頼
- データの再設定、バックアップの復旧
システムの修理をし、データの再設定やバックアップの復旧をすることで、使える状態に戻しましょう。
事後対応
最後に、事後対応を解説します。
- 結果の報告
- 弁護士に相談
- 再発防止策の作成・実施
調査や復旧の報告を経営層にし、経営層は証拠保全の結果も含めて、どのように対処すべきか弁護士に相談しましょう。
また、再発防止策を作成し、実施しましょう。
詳しくは、厚生労働省「医療情報システム等の障害発生時の対応フローチャート」(https://www.mhlw.go.jp/content/10808000/000844703.pdf)をご覧ください。
まとめ
今回は病院で行うべきセキュリティ対策を解説しました。
冒頭でも紹介した通り、近年は医療機関へのサイバー攻撃が増えています。
そのため、それぞれの医療機関で今まで以上にセキュリティ対策を入念に行う必要があります。
今回紹介したような4つの観点から、何が必要かを考えてみてください。
