これからの病院経営を考える第5回サイバー攻撃に備えて医療機関が取るべき対策とは

国内のある自治体病院が2021年10月にランサムウェアを用いたサイバー攻撃を受けたことを皮切りに、国内の医療機関への攻撃が相次いで発生しています。この事態を受け、国および厚生労働省は医療機関に対策を講じることを求め、制度やガイドラインの改定を行っています。本稿はこれらの制度内容や今後の見込みについて触れた上で、医療機関の経営層やシステム部門がサイバー攻撃への対策を進める際の留意点について論じます。

続出する医療機関に対するサイバー攻撃

私たちは2021年12月に公開したコラム「医療機関を脅かすセキュリティの脅威と対策ポイント」において、ランサムウェアの脅威や、病院経営を踏まえて取り組むべき課題について論じました。

そのコラムの結びとして、「医療業界を取り巻くサイバー脅威は深刻化の一途を辿っている一方、その対策は十分であるとは言えず、リスクの高い状況が続いている」と述べましたが、その後2022年に入ってからも医療機関におけるサイバー攻撃被害が続々と報じられています^*1。被害はこれまでも公立・民間を問わずさまざまな医療機関において発生していますが、サイバーセキュリティに人員や予算を投じることが困難な中小規模の病院が標的となる事例も目立っています（表1）。

国による医療機関への対策の指示

事態を重くみた国は、2022年に入ってから法律の改正やガイドラインの改定を進め、医療機関に対策を講じるよう求めています（表2）。注目すべきは、医療法に基づく立入検査の確認項目に、新たにサイバーセキュリティ対策に関する項目が加えられたことです。

また上記に加え、2022年9月に開催された「健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ」では、国の今後の医療機関におけるサイバーセキュリティ対策の基本方針として、「短期」と「中長期」に分けて対策が示されました（表3）^*2。「短期」に位置付けられた項目は、今すぐに取り掛かる必要があることで、特にサイバーセキュリティに関する知識・認識を向上させ、二次被害を防ぐことが優先されています。サイバーセキュリティ対策については、今後省令が改正され「医療機関等の管理者が順守すべき項目」に位置付けられる見通しです。同時に、医療機関に対するサイバーセキュリティ対策の実態調査も2022年度中に行われる予定であり、国・厚生労働省にとって重要度の高い課題であることを示しています。

2023年4月からのオンライン資格確認導入の原則義務化を見据えて、2022年度中には「医療情報システムの安全管理に関するガイドライン」のさらなる改定も予定されており^*3、医療機関は継続的にさらなる対策を進めていくことが求められます。

医療機関がサイバーセキュリティ対策に取り組む際の留意点

これらの制度面での変化を踏まえて、医療機関が取り組むべきサイバーセキュリティ対策はさまざまな場で解説されるようになってきました。そこで、医療機関の声を踏まえ、実際にサイバーセキュリティ対策に取り組む際に留意すべき点を以下の3つにまとめました。

1）医療機関内のシステム・ネットワークの全体像の把握と管理

医療機関のサイバーセキュリティ対策を進めるためには、自らのシステム・ネットワークを把握することが不可欠です。電子カルテシステムや部門システムなど、どのような院内システムが存在し、それらがどのように接続されているか、全体像を把握することで初めてセキュリティリスクを検知できます。また、これにより実際のサイバー攻撃が検知された際に「どれくらいの被害が生じているか」など、被害の大きさも見極められるようになります。

近年は、ネットワークに接続可能な医療機器の種類が増えてきています。全体像の把握に努める際、システム部門が直接関与している基幹システムや基幹ネットワークを把握することは比較的容易ですが、各診療科・部門が独自に管理しているシステムや機器、それらが接続するローカルネットワークやメンテナンス用回線は、システム部門であっても十分に把握できていないケースが散見されます。実際に、病院のシステム担当者からは「各診療科・部門が独自で管理している機器の洗い出しや情報収集に何カ月もかかる」「各診療科・部門ではセキュリティ対策への認識が薄いことも多く、懸念がある」という声が聞かれます。

また、医療機関はさまざまなベンダーを使っており、システムの全体像も複雑です。各ベンダーが対策を行うことはもちろんですが、医療機関側も各ベンダーの対策内容を確認すること、また複数のベンダーを管理することが不可欠です。

2）サイバー攻撃を想定したBCPの策定

サイバーセキュリティ対策を講じたとしても、サイバー攻撃は日々進化していることから、新たな異なる脅威が出てくることを想定する必要があります。そこで重要なのは、業務継続計画（BCP：Business Continuity Plan）を作成することです。自然災害を想定したBCPが策定されている医療機関は多いですが、サイバー攻撃をも想定したBCPについては、病床規模の比較的大きな病院でさえ「作成が必要と認識しているが、実際にはまだ手が回っていない」という状況のようです。

一方で、他病院のサイバー攻撃事例を踏まえて対策を講じている病院もあり、サイバー攻撃発生時にわずか数日で通常診療を再開できたという例もあります。医療情報システムが使用できない事態に陥った場合でも診療が継続できる、もしくは中断したとしても可能な限り短い時間で再開することができるよう、BCPの作成と訓練は必要です。

BCPの中には、“非常時”と判断するための基準・手順・判断者や、正常復帰時の手順などを盛り込むとともに、いざBCPを実行する際にスムーズに対応できるよう平常時からシステム停止時の代替手段や、所管官庁・関係機関への連絡手段も用意しておくことが肝要です。

3）病院経営層のリスク認識

サイバーセキュリティ対策を進めているシステム担当者の声を集めてみると、「最初は病院経営層のリスク認識が甘かった」という病院がある一方で、「病院経営層が他病院の事例を聞いていたので、意識を高く持ってくれており、対策を速やかに進められている」という病院もありました。

サイバーセキュリティ対策を進める上では、システム部門と経営層が共通の認識を持つことが不可欠です。例えば、サイバー攻撃を受けた場合にどのような事象が発生し、復旧にどのくらい時間がかかるかをシステム部門があらかじめ計算し、経営層に説明することで、経営層の意識を変えるよう働きかけている病院もあります。

いざベンダーやデータの状況を確認してみると、「クラウドに保管されたバックアップデータを回線経由で病院に送信し、データを戻すだけで数日を要する」といったことが判明することもあり、より具体的に確認し、共通認識を持っておくことが大切です。

日本の医療機関はどこもサイバーセキュリティ対策に苦労していると聞きます。対策にはお金、時間、人手がかかりますが、多くの医療機関にはなかなかそのようなリソースの余裕がありません。一方で、被害を受けた際の損失は甚大であり、金銭面のみならず、患者からの信用などさまざまな面で取り返しのつかない事態となる可能性があります。このようなジレンマに晒され続けている医療機関の苦労は察するに余りありますが、大切な情報を守る責任は最終的には医療機関にあるということを認識すべきです。その上で、システム部門、経営層、医療従事者、職員、そしてベンダーが協力しながら、一歩ずつでも取り組むことが求められます。

*1：東京新聞「狙われた病院…6年間で17医療機関にサイバー攻撃、うち6件が今年発生セキュリティー予算、クラファンで募る」
https://www.tokyo-np.co.jp/article/184417

*2：第12回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料2-2
https://www.mhlw.go.jp/content/10808000/000985159.pdf

*3：第12回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料1
https://www.mhlw.go.jp/content/10808000/000985157.pdf