2021年10月末に徳島県にある町立病院(120床)が、データを暗号化し復元する代わりに身代金を請求するコンピュータウィルス、ランサムウェアに感染する被害が発生したとの報道がありました。患者約8万5千人分の電子カルテが閲覧できなくなり、新規患者の受け入れの停止を余儀なくされました。その結果、病院は外部のセキュリティ会社に復旧を依頼し、約2億円かけてシステムの再構築する選択を迫られました。復旧には約2カ月を要する事態までに発展しました。
2022年に入ってからも1月20日に愛知県の病院で同様にサイバー攻撃を受け、患者数万人分の電子カルテが閲覧できなくなった事件が起きています。このように、医療機関をターゲットとしたランサムウェア攻撃は各地で相次いでいます。その被害は大きく、攻撃の多様化、巧妙化が問題となっており、厚生労働省は2021年6月28日「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」、続いて同年11月26日に再注意喚起を呼びかけています。
攻撃の対象とされる医療機関は規模や場所を問いません。今、医療機関は喫緊の課題としてサイバーセキュリティ対策が必要不可欠であり、コンプライアンスや危機管理・危機対応、事業継続性(BCP)等の観点から管理体制の構築が必要となります。
本稿では、厚生労働省から2021年1月に出された「医療情報システムの安全管理に関するガイドライン第5.1版」を参考に(一部筆者改編)、管理者の情報保護責任、医療情報システムの基本的な安全管理について解説します。
管理者の情報保護責任
医療に関わる全ての行為は医療法等で医療機関等の管理者の責任で行うことが求められている通り、医療情報の取扱いも同様となります。医療情報を適切に管理するための善管注意義務を果たすためには、次の2つのケースに分けて考える必要があります。
ケース |
責任 |
求められること |
通常運用時 |
① 説明責任 |
・ 医療情報システムの仕様や運用方法の文書化 ・ 仕様や運用方法等に関する定期監査 ・ 監査結果の適切な文書化および真摯な対応 ・ 対応記録の文書化、第三者が検証可能とすること |
② 管理責任 |
・ 管理状況の報告を定例化 ・ 管理の最終的な責任の所在の明確化 ・ 受託する事業者の監督 |
|
③ 定期的に見直し、必要に応じて改善を行う責任 |
・ 医療情報システムの運用管理状況の定期的監査 ・ 問題点の洗い出しと改善 |
|
事故発生後 |
① 説明責任 |
・ その事態の発生の公表 ・ 原因や対処方法についての説明 |
②善後策を講ずる責任 |
・ 原因の追及、明示 ・ 損害時の填補 ・ 再発防止策 |
また、第三者に委託する場合、管理責任の主体はあくまでも医療機関の管理者にあります。受託する事業者との契約において、受託する事業者の義務や責任分担、損害補填等についてもれなく明記することが必要です。
医療情報システムの基本的な安全管理
ガイドラインは情報セキュリティマネジメントシステム(ISMS)を有用としています。重要なポイントと具体例を列記します。
(1)方針の制定と公表
-
・個人情報保護に関する方針の策定と公開
-
・医療情報システムの安全管理に関する方針の策定
(具体例)情報の範囲や取扱い、保存方法・期間の規程化、医療情報システム安全管理責任者の選定、苦情・質問窓口の設置
(2)医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践
-
・取扱い情報の把握とPDCAサイクルの構築、維持
(具体例)情報のリストアップ、事故やミスの発見・報告体制の整備、原因分析から予防・是正策による再発防止や職員教育
(3)組織的安全管理対策(体制、運用管理規程)
-
・安全管理対策を検討する組織体制や規程等の整備、運用
-
・医療情報の安全管理対策の評価、見直し及び改善
-
・情報や情報端末の外部持ち出しやリモートアクセスに関する規則等の整備
-
・事故又は違反への対処
(具体例)アクセス管理や文書管理の規程化、患者等への説明と同意を得る方法、委託先との安全管理条項、機器の管理方法の整備
(4)物理的安全対策
-
・入退館(室)の管理
-
・盗難、覗き見等の防止
-
・機器、装置、情報媒体等の盗難や紛失防止も含めた物理的な保護及び措置
(具体例)時間帯別の入室権限の設定、管理保存場所の施錠、入退者に名札等の着用義務、台帳等による入退者記録、盗難防止用チェーン等の設置
(5)技術的安全対策
-
・利用者の識別・認証/情報の区分管理とアクセス権限の管理
-
・アクセスの記録(アクセスログ)
-
・不正ソフトウェア対策
-
・ネットワーク上からの不正アクセス防止
(具体例)IDを複数名で利用しない、初期パスワードの変更の徹底、パスワードの定期的な変更、適切な利用者以外に無線 LAN を利用されないようにする
(6)人的安全対策
-
・従業者に対する人的安全管理措置
-
・事務取扱受託業者の監督及び守秘義務契約
(具体例)委託先に対する包括的な守秘契約の締結、委託先の事業者が再委託を行うか否かの明確化、サーバ室の安全管理上重要な場所におけるモニタリングによる行動管理
(7)情報の破棄
-
・情報種別ごとの破棄手順の明確化
(具体例)情報処理機器自体を破棄する場合には、必ず専門的な知識を有するものが行う
(8)医療情報システムの改造と保守
-
・システムの定期的なメンテナンス
(具体例)保守会社に個人情報を含むデータを医療機関外に持ち出させない、詳細なオペレーション記録を保守操作ログとして記録、保守作業は医療機関等の関係者の立会いの下で行わせる
(9)情報及び情報機器の持ち出しについて
-
・情報及び情報機器の持ち出しに関する方針や管理方法の運用管理規程化
-
・盗難、紛失時の対応に関する従業者への周知徹底、教育の実施
(具体例)個人が所有するPCやタブレット等の機器を業務で利用させない、必要最小限のアプリケーションのみの使用とする
(10)災害、サイバー攻撃等の非常時の対応
-
・“非常時”と判断するための基準、手順、判断者等及び正常復帰時の手順の設定
-
・非常時対応、医療情報システムの障害時の対応の教育及び訓練
(具体例)非常時用ユーザアカウントの用意、攻撃を受けたサーバ等の遮断や他の医療機関等への影響の波及の防止のための外部ネットワークの一時切断、重要なファイルは数世代バックアップの取得
(11)外部と個人情報を含む医療情報を交換する場合の安全管理
-
・「盗聴」「改ざん」「なりすまし」の危険性に対する対応
-
・暗号化を行うための適切な鍵管理
(具体例)施設間の経路上においてクラッカーによるパスワード盗聴の防止、セッション乗っ取りやIP アドレス詐称等のなりすましの防止、関連組織との責任の所在を契約書等で明確化
院内のセキュリティ環境を確認し、もしもの事態に備えましょう
厚生労働省では、経営者層、システム管理者、一般利用者をそれぞれ対象とした安全管理ガイドライン「医療機関のサイバーセキュリティ対策チェックリスト」を設けています。まずは、院内の情報管理の体制やセキュリティ環境を確認するとともに、外部の専門家などに技術的な指導を受けることも選択肢となります。
一般利用者(職員)については、対策チェックリストにあるように、基本的なルールの設定と共有が必要となってきます。あるクリニックでは「私物のパソコンやタブレット、USBなどをネットワークに接続してはいけないというルール」を設定しています。職員が使用できるパソコンの台数が限られることから院内に私物のパソコンを持ち込み利用するケースが常態化していましたが、セキュリティ対策の観点からこれを見直し、許可されていない機器をネットワークに接続できないようにセキュリティツールを導入し、アクセス制御する安全体制を整えました。また、職員に情報セキュリティの危険性、意識づけのための研修を定期的に実施しています。このような取り組みの積み重ねが職場内のITリテラシーの向上にもつながるでしょう。
なお、医療機関がサイバー攻撃を受けた(疑い含む)際には、直ちに厚生労働省等の所管省庁への連絡と合わせ、医療情報システム安全管理責任者が中心となり、情報システムの保守事業者に連絡し指示を仰ぐ等、2で示した安全管理体制のもと、整理したどの情報(どこ、何が)に、どれほどの被害が発生しているかの把握といった適切な対応を行う必要があります。もしもの事態に備え、BCPの策定を検討しましょう。
・医療機関等がサイバー攻撃を受けた場合等の厚生労働省連絡先
医政局研究開発振興課医療情報技術推進室
・コンピュータウィルスや不正アクセスに関する技術的な相談を受け付ける窓口
情報処理推進機構 情報セキュリティ安心相談窓口