医療機関へのサイバー攻撃~サイバー攻撃対策に関する国の最新動向~

医療機関に求められるサイバー攻撃への備え

近年、日本の医療機関に対してランサムウェア(身代金要求型ウイルス)などを用いたサイバー攻撃事例が頻発しており、院内システムが停止することにより診療不能に陥ったケースがいくつか見られます。そのような状況の中、厚生労働省は2022年3月に医療情報システムの安全管理ガイドラインを改訂し、ランサムウェアによる攻撃への備えを求めるなど、医療機関においては、サイバー攻撃対策を入念に講じることの重要性が高まっています。本ニュースレターでは、医療機関へのサイバー攻撃が急増している背景や、医療機関が今後注力すべき対策について考察します。

急増する医療機関へのサイバー攻撃

医療機関へのサイバー攻撃は2020年までは年間0〜1件程度の発生にとどまっていましたが、2021年には判明しているだけで5件と急増しました。その一例として、ある公立病院ではランサムウェアによる攻撃を受けたことで院内システムに不具合が発生し、一部の診療科を除き、新規患者の受け入れを中止せざるを得ない事態となりました。システムを復旧し、通常診療を再開するまでに2カ月超を要し、損害額は復旧に要した費用約2億円に医業収益の落ち込みを加えると、合計で約3億円に上りました。

2022年に入ってからも医療機関に対するサイバー攻撃の頻度は前年を上回るペースで推移しており、6月にもある民間病院ではランサムウェアの感染により、電子カルテや院内LANシステムが使用不要となりました。(図表1)

図表1 2021年以降に国内医療機関で発生した、ランサムウェアによる攻撃の実例

遅々として進まない医療機関におけるサイバー攻撃対策

医療機関への度重なるサイバー攻撃は、「電子カルテ・医事会計システムなどの医療情報システムはインターネットから隔離されているため、外部からの攻撃は受けにくい」という診療系ネットワークの「安全神話」を崩壊させました。実際にはUSBメモリやリモートメンテナンス回線を経由した侵入が確認されており、必ずしも安心できる「聖域」ではなくなっています。

サイバー攻撃による被害の要因としては、ゲートウェイ機器のプログラムやサーバーOSの未アップデートといったシステム脆弱性が指摘されており、2022年3月に厚生労働省が公表した調査結果*1によると、約40%の医療機関ではリモートアクセスに使用されるプログラムが適切に更新されていないことが明らかになっています。また、被害からの早期復旧を妨げる要因の1つとして、電子カルテデータのバックアップ不備が挙げられます。同調査によると、サイバー攻撃や自然災害に備えたバックアップデータを保管している医療機関は、全体の約50%にとどまっています。

また民間団体の調査結果*2によると、情報セキュリティ対策が不十分な状態は、病床規模が小さい医療機関、および医療法人・社会福祉法人などが設置者である民間医療機関で特に顕著です。この背景の1つとして、経営規模が小さく、IT投資の財源が不足していることが関係していると考えられます。

医療機関へのサイバー攻撃対策強化に関する政策

事態を重く見た厚生労働省は、診療報酬加算の要件変更、医療情報システムの安全管理に関するガイドラインの改訂により、サイバー攻撃に対し医療機関が取るべき必要な措置を規定しました(図表2)。今後は、サイバー攻撃対策の強化が医療機関にとっての社会的・経営的・法的な義務となっていくものと予想されます。ただし、一般的に医療機関がサイバー攻撃対策に充てることができる人員や予算には限りがあるため、対策の力点をどこに置くべきかを検討する必要があります。

図表2 医療機関のサイバー攻撃対策強化に関する国の最新動向

予防偏重型のサイバー攻撃対策から早期対応型の備えへ

医療機関は、攻撃者を事前に探知・先制排除する手段を有しておらず、いわば「専守防衛」の状態に置かれています。従って、予防や検知にどれほど注力したとしても、攻撃を完全に排除することは原理的に不可能です。

そのため中小規模の医療機関や民間病院においては、BCP(事業継続計画)を策定するなどして、第一撃を受けた際に診療への影響を最小限に抑える対応をあらかじめ定めたり、早期の業務復旧を可能とする体制を整備したりするなど、攻撃の前後各段階において抗堪性を高められるような取り組みが重要となります(図表3)。各医療機関においては、その特性や予算制約も踏まえつつ、各々の状況に応じた最適なサイバー攻撃対策計画を策定・実行することが急務となっています。

図表3 サイバー攻撃対策の4段階と注力すべき点

*1:「病院における医療情報システムのバックアップデータ及びリモートゲートウェイ装置に係る調査」の結果について
https://www.mhlw.go.jp/content/10808000/000918813.pdf

*2:国内病院に対するセキュリティアンケート調査の結果と考察
https://www.m-isac.jp/wp-content/uploads/2021/12/Report_20211201.pdf

執筆者

平川 伸之

シニアマネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}