{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
厚生労働省は2023年5月に「医療情報システムの安全管理に関するガイドライン第6.0版(以下、安全管理ガイドライン)」と「医療機関におけるサイバーセキュリティ対策チェックリスト」を策定し、医療機関が優先的に取り組むべき事項を明確にしました。特に着目すべきは、2024年度中にサイバー攻撃を想定した事業継続計画(BCP)の策定が求められていることです。PwCコンサルティング合同会社(以下、PwCコンサルティング)は、サイバーセキュリティ対策の第一歩として、サイバーセキュリティの簡易アセスメントを提供し、サイバー攻撃を想定したBCP策定を支援しています。
近年、医療機関もサイバー攻撃の標的として例外ではなくなっており、攻撃を受けた医療機関は通常診療の停止を余儀なくされるなど、病院の運営および経営に重大な被害が生じています。
それにもかかわらず、多くの医療機関は本格的にサイバーセキュリティ対策に取り組めていないのが現状です。厚生労働省の調査*1によると、半数以上の医療機関で関連事業者も含めたネットワークの脆弱性対策や安全性の高いオフラインバックアップを実施できておらず、さらに7割以上の医療機関ではサイバー攻撃に関するBCP策定が行われていないという結果が出ています。
サイバー攻撃はどの医療機関でも起こり得るものであり、対策を進めることは急務と言えます。
*1:厚生労働省 「病院における医療情報システムのサイバーセキュリティ対策に係る調査(2023年5月24日)」 https://www.mhlw.go.jp/content/10808000/001100095.pdf
2023年5月に改定された安全管理ガイドラインは、これまで示されてきた医療情報システムの安全管理の実効性を高めるという観点から、経営層向けの「経営管理編」、システム安全管理者向けの「企画管理編」、システム運用担当者向けの「システム運用編」に分けて再編されました。
注目すべきは、「経営管理編」において経営層が遵守すべき事項が明確化されたことです。リスク評価や統制、BCPの策定などについて、現場のシステム担当者に任せるだけでなく、経営層が責任を持って体制づくりを指示し、指揮・管理することが明確に示されたと捉えられます。
安全管理ガイドラインと同時に公開された「医療機関におけるサイバーセキュリティ対策チェックリスト(以下、チェックリスト)」では、医療機関が優先的に取り組むべき事項がまとめられました。チェックリストでは体制構築、情報システムの管理・運用、インシデント発生に備えた対策が具体的に挙げられており、実施すべき時期も示されています。
その中で特筆すべき点として、サイバー攻撃を想定したBCPを2024年度中に策定することが必須となったことが挙げられます。多くの医療機関は震災などの大規模災害に備えたBCPを策定していると思われますが、サイバー攻撃に伴う長期間のシステム停止に対して災害向けBCPを適用することは難しいため、新たに策定する必要があります。
また、医療法第25条第1項の規定に基づく立入検査要綱に関して、2023年度の立入検査要綱改正によりチェックリストが検査要綱として設けられ、インシデント発生時における連絡体制図が立入検査時に確認されます。そのため医療情報システムを有する医療機関は、今すぐチェックリストへの対応に着手すべきと言えるでしょう。
BCPにおいて重要なことは、いかなるサイバー攻撃が発生した場合でも、対処と復旧の段取りが迅速に行われるように機能することです。PwCコンサルティングの豊富な支援事例を通して見えてきた、サイバー攻撃向けBCPを策定するにあたって求められるポイントは以下の「経営層との早期の連携」「Patient Centric(患者中心)のアプローチ」「教育や訓練・演習も含めた計画の策定」「最悪の事態を想定した事前対策」の4つです。
サイバー攻撃向けBCPを策定する際にはシステム部門が中心となることが多いですが、経営課題として捉えることが重要です。基本方針やBCPの適用範囲、サイバーセキュリティ体制などの検討を経営層を含めて進めていくことで、サイバー攻撃発生時の経営判断が迅速に実施できるようになります。また、BCP策定時および演習時においても経営層が主導することで、医療機関全体の危機意識を醸成することができます。特に、基本方針を策定するにあたっては、地域における医療機関の役割や、開設主体である自治体や法人などの経営方針などを考慮し、医療機関として絶対に守らなければいけない診療機能を決定する必要があるため、病院経営層の意思決定が不可欠です。
サイバー攻撃向けBCPの目的はシステムの復旧ではなく診療機能の継続であるため、医療サービスを受ける患者の視点を失ってはなりません。BCPには患者や住民への説明や情報公開、近隣医療機関への連絡や依頼の内容およびその手順を記載し、患者への影響を最小化することが重要です。
また、サイバー攻撃発生時には、医療従事者による各機能のアセスメントが必要となります。これにより機能がどこまで止まり、患者の生命をどこまで守れるのかを明確にし、BCPで策定した優先的に継続すべき機能を維持できるように組織一丸となった対応を検討することができます。
BCPに基づいた職員教育や定期訓練、演習を通して、最新の状況に合わせてBCPの見直しを行い、陳腐化を防止します。また、教育や訓練・演習に職員が参加することにより、サイバー攻撃発生時の現場の混乱を最小化することが可能となります。
定期的に訓練や演習を実施することは、職員一人ひとりがどのように対処すべきかを自ら考え行動する機会を提供するだけでなく、サイバー攻撃の風化を防止する役割もあります。
最悪の事態を想定し、備えるべき目標や対策レベルを設定することで、通常時からリスクの軽減や回避を中心とした事前対策を設定することができます。事前対策には、セキュリティ対策だけでなく、サイバー攻撃発生に伴って必要となる業務の洗い出し、対応者の選定、各業務の手順書の作成、事前に準備すべき物品やリストの検討などが挙げられます。
また、限られた予算や人員で事前対策を行うには、重要度と実行難易度を加味し、優先順位をつけて取り組むことでより効率的に実行することが重要です。
PwCコンサルティングには、病院運営、医療情報システム、サイバーセキュリティの各領域を専門とするプロフェッショナルがおり、医療機関の状況に応じたサイバーセキュリティ対策支援を実施しています。まずは「簡易アセスメント」から開始することをお勧めします。
簡易アセスメントで安全管理ガイドラインの遵守状況を確認しつつ、サイバーセキュリティに関する医療機関の弱点を見極めることで、早期に具体的対策に着手することが可能となります。また、現状を踏まえたうえで、医療機関に合わせたBCP策定やそれに基づく訓練の実施などを支援します。
平川 伸之
シニアマネージャー, PwCコンサルティング合同会社