病院に必要なセキュリティ対策は? ガイドラインの要点を解説
サイバー攻撃によって医療が停止すると、新規患者の受け入れや既存患者への治療を制限され、緊急性の高い患者や高度専門医療を必要とする患者の命を危険にさらす可能性があります。
停止期間が長引けば地域医療にも病院の経営にも深刻なダメージを与えることから、病院や医療機関のセキュリティ対策は重要です。厚生労働省も、医療機関のセキュリティ対策の重要性を認識していて、医療機関向けのセキュリティ対策のガイドラインを公表していますが、具体的にどのような対応を行えばよいのでしょうか。
本記事では、病院や医療機関のセキュリティ対策の現状や、ガイドラインの要点、必要なセキュリティ対策について解説します。
病院・医療機関のセキュリティ対策の現状
病院や医療機関のセキュリティ対策については、厚生労働省が公表している「「病院における医療情報システムのサイバーセキュリティ対策に係る調査」の結果について(病床別分析結果)」で、2023年時点での実態を確認できます。調査結果からは、医療機関のセキュリティ対策には下記3点の問題があることがわかります。
BCPは全体の7割以上が策定していない
サイバー攻撃などによってシステムがダウンした場合を想定したBCP(Business Continuity Planning:事業継続計画)を策定している病院・医療機関は全体の23%程度で、7割以上の医療機関ではBCP対策を実施していないことが判明しています。BCPを策定していても、策定した対処手順を訓練などで確認している病院・医療機関は4割以下です。
BCPとは、自然災害や事故などの緊急事態による被害を最小限に抑え、速やかな復旧によって事業を継続するための対策についてまとめた計画です。BCPを整備することを前提として指定が継続されている災害拠点病院を除き、医療機関のBCP策定は義務ではありません。しかし、不測の事態が発生した場合にも医療を継続できるようにするためには、すべての医療機関にとってBCPの策定は重要です。
外部事業者とのネットワーク接続点に関する対策は5割以上が実施していない
厚生労働省の調査では、外部事業者とのネットワーク接続点に関する対策は5割以上が実施していないことも判明しています。
病院や医療機関で使用する医療機器やシステムは、様々な外部事業者とネットワークで接続されています。医療機関へのサイバー攻撃では、セキュリティ対策がより脆弱な小規模事業者のシステムに侵入し、ネットワークをたどって病院に侵入されるケースにも注意しなければなりません。
これを防ぐには、自院だけでなく、自院にネットワークで接するサプライチェーン全体での対策強化と接続点の脆弱性対策が必須ですが、それらの対策を行っている医療機関は全体の44%で、半数以上で対策をしていませんでした。
インシデントの早期検知に向けた対策は6割以上が実施していない
厚生労働省の調査で、セキュリティ上のインシデントを早期検知するための仕組みを導入していない医療機関が、全体の6割以上に上ることも判明しました。
セキュリティ対策では、万が一攻撃を受けた場合に備え、早期に検知するための対策も重要です。攻撃を完全に防げなかったとしても、早期に攻撃を検知できれば被害の拡大を防ぎ、損失を最小限に抑えることができます。
しかし、インシデントを早期検知するためのログの確認や通信の監視について実施の有無を尋ねた質問では、実施していると回答した医療機関は全体の35%でした。
厚生労働省による「医療情報システムの安全管理に関するガイドライン 第6.0版」の要点
病院や医療機関が負う社会的責任の大きさに対して、万が一に備えたセキュリティ対策は決して十分とはいえない現状を背景に、厚生労働省は、「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」を公開しました。
同ガイドラインでは、医療関係者が実行的なセキュリティ対策を講じられるよう、関係者ごとに求められる役割や行動を「概説編(Overview)」「経営管理編(Governance)」「企画管理編(Management)」「システム運用編(Control)」の4編に分けて解説しています。
ガイドラインの内容の要点としては、下記4点を挙げることができます。
経営者に向けた対策を明記している
ガイドラインには、経営管理編として、医療機関等の経営層に向けた内容が盛り込まれています。サイバー攻撃が経営に与える影響の大きさを経営層が理解し、システム担当者任せにせず積極的にセキュリティ確保に努める必要性を説いています。
その主な内容は、下記のとおりです。
- ガイドラインの経営管理編の主な内容
-
- 経営層は、医療情報の取り扱いや医療情報システムの安全管理について説明責任や管理責任を担うこと
- リスク評価を踏まえて経営資源の安全管理対策をする必要性
- BCPの策定と訓練を含むセキュリティインシデント対策の設計と管理を実施すべきであること
外部事業者との協働における注意点を整理している
ガイドラインでは、協働する事業者を、ガイドラインの基準に基づいて選定するよう求めています。また、委託事業者との間で責任の範囲を明確にし、書面などで適切に管理する重要性も盛り込まれました。
特にクラウドサービスにおいては、責任関係が複雑になるケースがあることから、慎重に責任分界を管理するよう求めています。
ゼロトラスト思考による対策の考え方を提示している
ガイドラインでは、ゼロトラスト思考に基づいた対策をとる場合の考え方、および具体的な対策も整理されました。
ゼロトラストとは、「何に対しても信頼を与えない」といった考え方に基づいて、セキュリティシステムを構築する考え方です。自院のネットワーク外からの接続だけでなく、ネットワーク内の接続も信用せず、重要な情報に接続しようとするすべての通信を疑って検証し、適切な対策をとります。
ネットワークの内外を区別して境界で対策を講じる従来のセキュリティ対策で被害が生じてしまったケースを念頭に置いて、より効果的なセキュリティ対策の考え方が導入されています。
- あわせて読みたい
新技術や制度・規格変更への対応を整理している
ガイドラインでは、オンライン資格確認をはじめとした新制度、規格変更への対応がまとめられました。病院や医療機関では、マイナンバーカードのICチップや健康保険証の記号番号で患者の資格を確認する「オンライン資格確認」が2023年4月から実質義務化されています。オンライン資格確認への対応のために必要となる機器のセキュリティ対策などの考え方が盛り込まれている点も、ガイドラインの特徴です。
「医療機関におけるサイバーセキュリティ対策チェックリスト」による対策の必要性
医療機関を対象としたサイバー攻撃に備えるべく、厚生労働省は「医療情報システムの安全管理に関するガイドライン」のほかに「医療機関におけるサイバーセキュリティ対策チェックリスト」を策定し、チェックリストに沿った対応を医療機関に求めています。これは、ガイドラインの内容のうち、優先的に取り組むべき項目をまとめたチェックリストです。
チェックリストには「医療機関確認用」と「事業者確認用」があり、医療機関は前者を活用して取り組みを進める必要があります。チェックリストには、下記のような内容が盛り込まれています。
- 医療情報システムの管理・運用に関する主な項目
-
- セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
- バックグラウンドで動作している不要なソフトウェアおよびサービスを停止している
- 利用者の職種・担当業務別の情報区分ごとのアクセス利用権限を設定している
- 退職者や使用していないアカウントなど、不要なアカウントを削除している
- インシデント発生に備えた対応に関する主な項目
-
- インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している
- サイバー攻撃を想定した事業継続計画(BCP)を策定している
病院・医療機関におけるセキュリティ対策の注意点
病院や医療機関でセキュリティ対策を実施する場合、万全の対策を講じたつもりでも、忘れられてしまいがちな注意点があります。万が一サイバー攻撃を受けた場合にも被害を防止したり、最小限に抑えたりできるように、下記の3点に注意しましょう。
ネットワーク機器の定期的なアップデートやパスワード変更を行う
病院や医療機関のセキュリティ対策では、VPN(Virtual Private Network)で閉鎖的なネットワークを構築しているからといって慢心せず、定期的なアップデートやパスワード変更を行わなければなりません。
特定の関係者だけが利用できる仮想プライベートネットワークを構築するVPNは、既存のインターネットを活用するため、コストを抑えて安全な接続を確立できるのがメリットです。しかし、VPNに接続するためのIDとパスワードが盗まれると、途端にサイバー攻撃のリスクにさらされます。VPNで接続されているパソコンがウイルスに感染した場合、VPNに接続しているほかの端末に感染が拡大する可能性もあるため、セキュリティ対策とID・パスワードの管理には常に注意を払わなければなりません。
被害発生に備え、原因究明できる体制を構築しておく
サイバー攻撃を防ぎきれず被害が発生した場合に備えて、速やかに原因究明できる体制を構築することも、忘れないようにしましょう。
サイバー攻撃は多様化しており、完全に防ぎきるのは困難です。外部要因によるセキュリティインシデントが発生した際には、被害発生前後の関連情報をできる限り早く収集し、被害拡大を防ぐ対策を実施しなければなりません。そのために、平時からログの記録や管理を徹底して、サイバー攻撃の原因を究明しやすい体制を構築しておくことが重要です。
院内に危機感を持たせる
サイバー攻撃の危険性と対策の重要性を周知し、院内に危機感を持たせることも、セキュリティ対策では忘れられがちですが重要です。サイバー攻撃が起きると、業務に多大な影響がおよび、事業を継続できなくなる可能性もあることを院内に周知しましょう。
セキュリティ意識を高めるように伝えるだけでは、なかなか自分ごとに落とし込めない従業員もいます。サイバー攻撃が自分の業務に直結し、会社の経営をも揺るがす事態であることを理解してもらわなければなりません。
適切なシステムを導入し、ガイドラインに対応しよう
サイバー攻撃による予期せぬ状況下でも医療機関が診療を継続するためには、厚生労働省のガイドラインに沿って着実に対策を進めることが重要です。ガイドラインの項目は多岐にわたるため、各項目に対応できる機能を持ったシステムを導入すると効率的に対応できます。
インターコムの「MaLion」シリーズは、ガイドラインの企画管理編で定められている「医療情報の持ち出し」や「医療情報システムに用いる情報機器等の資産管理」、システム運用編で定められている「情報管理(管理・持出し・破棄等)」や「利用機器・サービスに対する安全管理措置」「ネットワークに関する安全管理措置」に対応しています。
限られた人員で万全の対策を目指す医療機関は、ぜひ導入をご検討ください。
