第11回 医療機関に求められるサイバーセキュリティ対策【後編】サイバー攻撃向けBCP策定のポイント

サイバー攻撃向けBCP策定が求められる背景

前編に記載したように、近年、医療機関がサイバー攻撃の標的となる事案が相次いでおり、これまで示されてきた医療情報システムの安全管理の実効性を高める観点から2023年5月に厚生労働省は「医療情報システムの安全管理ガイドライン（以下、安全管理ガイドライン）第6.0版」を策定し、「経営管理編」「企画管理編」における遵守事項としてBCP策定が明記されました。

また、安全管理ガイドラインと同時に出された「医療機関におけるサイバーセキュリティ対策チェックリスト（以下、チェックリスト）」では、インシデント発生に備えた対策として2024年度中にサイバー攻撃を想定したBCP策定が示されています。

万が一のためではあるが、昨今の状況に鑑みるとサイバー攻撃がいつ身に降りかかるか分からない状況であり、被害を最小化し早期に回復する手はずを整えるため、医療情報システムを有する医療機関はサイバー攻撃向けBCP策定が必須です。

図表1：BCPに関連する、医療機関におけるサイバーセキュリティ対策チェックリスト項目（抜粋）

サイバー攻撃向けBCPの策定ポイント

BCPにおいて重要なことは、いかなるサイバー攻撃が発生した場合でも、対処と復旧の段取りが迅速に行われるように機能することです。そこで、実際にPwCコンサルティングが支援した事例を通して見えてきた、サイバー攻撃向けBCPの4つの策定ポイントに関してお伝えします。

1. 早期からの経営層巻き込み
   サイバー攻撃向けBCPを策定する際にはシステム部門が中心となることが多いですが、基本方針やBCP適用範囲、サイバーセキュリティ体制の検討に経営層を含めることで、サイバー攻撃発生時の経営判断が迅速に実施できるようになります。また、BCP策定時から議論に参加してもらうことで経営層の危機意識を高めることができます。
   
   特に、基本方針策定においては、地域における当該医療機関の役割、開設主体である自治体や法人組織などの経営方針等を考慮し、医療機関として絶対に守らなければいけない診療機能を決定する必要があり、病院経営層の意思決定が不可欠です。具体的には、サイバー攻撃が発生し電子カルテをはじめとした院内情報システムが使用不可となる中、全ての診療機能を通常通りに継続することは困難なため、優先的に継続すべき機能は何かを議論し、サイバー攻撃発生時に迅速に方針展開が行えるように備えることが重要です。これによりBCPの適応範囲やシステムの復旧優先度・復旧目標を明確に決めていくことができます。
   
   実際にPwCコンサルティングが支援した医療機関では、院内情報システムが停止し電子カルテが参照できなくなった場合に化学療法や透析治療は継続できるのか、できない場合はどれくらいの猶予があるのかなどを医療従事者と議論を重ねました。また、サイバー攻撃時に絶対に守らなければいけない診療機能を検討する際に、新型コロナウイルス感染症対応時に当該医療機関にて優先した診療機能を参考としました。
2. Patient Centric（患者中心）のアプローチ
   サイバー攻撃向けBCPの目的はシステム復旧ではなく診療機能の継続であり、医療サービスを受ける患者の視点を失ってはなりません。BCPには患者や住民への説明および情報公開、近隣医療機関への連絡や依頼の内容や手順を記載し、患者への影響を最小限とすることが重要です。そのための具体策として、発信文書や非常放送の例文を作成しておく、サイバー攻撃時に連絡が必要な近隣医療機関および医師派遣元の医療機関や地域医師会のリストを予め準備する、個々の問い合わせが殺到することを想定し、問い合わせ電話番号を設置するとともに対応者を決めておくなどが挙げられます。
   
   また、サイバー攻撃発生時には、医療従事者による各機能のアセスメントが必要となります。これにより機能がどこまで止まっており、患者の生命をどこまで守れるのかを明確化し、BCPで策定した優先的に継続すべき機能を維持できるように組織一丸となった対応を検討することができます。
3. 教育および訓練・演習のプランも含めた内容
   BCPに基づいた職員教育や、定期訓練・演習を通して、最新の状況に合わせてBCPの見直しを行い、陳腐化を防止します。また、教育や訓練・演習に職員が参加することにより、サイバー攻撃発生時の現場の混乱を最小限に抑えることが可能となります。定期訓練・演習の実施は職員1人1人がどのように対処すべきかを自ら考え行動する機会の提供だけでなく、サイバー攻撃の風化防止の役割もあります。
   
   民間企業では、疑似マルウェアを実際のシステムに対して放ち、組織がどのように対応できるかを計る「レッドチーム演習」やサイバー特有の事象が分からない中でどう判断をすべきかを訓練趣旨とした「経営層向けサイバー攻撃訓練」などを定期的に実施しており、サイバー攻撃に対するリスク知識を更新し、常に備えられるような危機管理意識の醸成をしています。
4. 最悪の事態を想定した事前対策
   最悪の事態を想定し、備えるべき目標や対策レベルを設定することで、通常時からのリスク軽減や回避を中心とした事前対策を設定することができます。事前対策には、セキュリティ対策だけでなく、サイバー攻撃発生に伴い必要となる業務の洗い出しや対応者の選定、各業務の手順書の作成、事前に準備すべき物品やリストの検討などが挙げられます。
   
   具体的には、システム停止時に使用する紙カルテの内容の見直しや在庫準備、サイバー攻撃時に連絡すべき関連組織のリストや手順書の作成、CSIRTメンバーの食事や休憩場所の検討、優先的にバックアップすべき患者情報や患者リストの検討、サイバー攻撃発生時の外部委託事業者とCSIRT間や全職員への連絡手段の検討などが必要です。また、限られた予算や人員で事前対策を行うには、重要度と実行難易度を加味し、優先順位をつけて取り組むことでより効率的に実行することが重要です。

サイバー攻撃の手口は、年々多様化・巧妙化しており、セキュリティ対策を進めようとしても、簡単にはいかないのが現状です。進化し続けるサイバー攻撃に対して先回りして対策を打ち続けるのは難しいと感じる医療機関も多いのではないでしょうか。

しかし、サイバー攻撃は医療機関を「被害者」にするだけでなく、個人情報の漏えいが発生した場合は「加害者」にさせる可能性もあります。サイバー攻撃被害の最小化とリスク軽減のために、既存のBCPサイバー攻撃の脅威に対する備えになっているのかを直ちに確認し、これから整備をされる場合には、サイバー攻撃発生時の体制や対応手順を策定することをおすすめします。

前編はこちら