【ウェビナー解説記事】医療機関のサイバー攻撃実例から考える医療情報システムのサイバーセキュリティ対策ポイント

※本記事は、2024年7月30日に開催したTXOneウェビナーの内容をまとめたものです

本ウェビナーでは令和5年5月に策定された「医療情報システムの安全管理に関するガイドライン第6.0版」の改訂ポイントの解説と、日本で実際に起きた医療情報システムにおけるサイバー攻撃の実例をもとに、医療情報システムをサイバー攻撃から守り安全に管理するための対策ポイントを解説しましたので一部ご紹介します。

本ウェビナーの目的

1. 医療情報システムのセキュリティ対策が必要な背景を知る
2. 医療情報システムの安全管理に関するガイドラインについて知る
3. サイバーセキュリティ事項の実例から対策を考える
4. 今日できることから始めてみる

ウェビナー開催の背景

医療機関の情報システムに対するサイバー攻撃は国内外で多様化・巧妙化が進んでおり、医療機関のインシデントは、診療や手術の継続に大きな影響を与えます。
日本でも医療機関等における診療業務等に大きな影響を与えることを踏まえ、令和5年5月に「医療情報システムの安全管理に関するガイドライン第6.0版」が策定されました。保険医療機関・薬局においては令和５年４月からオンライン資格確認の導入が原則義務化されています。

このウェビナーでは、実際にこのガイドラインを理解するだけではなく、実際にどんなサイバー攻撃があったか、その事例を見て頂くと、よりこのガイドラインの内容が把握しやすくなるのではないかと考えて、ウェビナー開催致しました。
また、サイバーセキュリティ対策はアンチウイルスソフトウェアを導入するといった方法もありますが、まずは、今日からできるサイバーセキュリティ対策を始めることで医療セキュリティのレベルを上げて頂くきっかけになればと考えています。

医療機関に関わる法的な責任

医療機関に関わる法的な責任は大きく３つに分かれています。

• 行政法上の責任（個人情報保護法・各種医療関係法）
• 刑事上の責任（刑事法）
• 民事上の責任（民法）

これは適切な医療を行うための責任があるため、医療情報システムを守ることが求められています。

• 個人情報保護法
• e文書法省令
• 外部保存通知
• 電子署名法

これらの法律が何を守ろうとしているか、それは医療情報システムのデータです。以下３つが重要事項となります。

• 見読性の確保
• 真正性の確保
• 保存性の確保

なぜこのような関連法が持ちあがってきているのか、それは医療機関のサイバー攻撃が増加していることが１つの要因と考えられます。

2018年から国内の医療機関におけるサイバー攻撃事例を見てみると、9件の医療機関がサイバー攻撃に関するインシデントを受けています。
内容を見ると、カルテ情報が暗号化されて使えなくなった事例などがあります。
また、マルウェアによる攻撃によって個人情報の漏洩など。
またこのセキュリティ事故9件中8件がランサムウェア被害となっています。

これらを受けて、厚生労働省が「医療情報システムの安全管理に関するガイドライン第6.0版」を策定しました。第6.0版より、ガイドライン項目に「サイバー攻撃対応」が追加されています。目的は従来通り、個人情報と医療提供体制の保護になりますが、実際の手段として、サイバーセキュリティ対策が打ち出されています。セキュリティ責任者の設定や、アクセス制限を始めとした各手段は、サイバー攻撃対応に繋がっています。

このガイドラインは第5.0版から第6.0版で大きな変更がございました。最大の変化点としては、対象が次の３つで構成されたことです。

• 経営管理
• 企画管理
• システム運用

経営管理者に求められることは全ての情報セキュリティに関して責任・責務を持つことです。
例えばシステム会社からシステムを納入したとしても、ここでサイバー攻撃によるインシデントが起きた場合、システム会社が保証できるのは、製品を納入した金額までです。3000万でシステムを導入して、1億円の被害が起きた場合、残りの7000万は医療機関の経営者が責任を取る必要があります。

企画管理者は、セキュリティ対策に関する情報資産管理体制と責任分界を実行します。

システム運用者は、企画管理者が策定したルールに基づき、管理方法や、運用手段として展開します。

のちに出てくる事例でも説明しますが、現場の意向が強く、担当者の権限が及ばないケースがあります。企画管理者が策定したルールに、現場が対応しないことがあります。その際、経営管理者のサポートがないと展開できないといったことがあります。経営者は責任を持って、サイバーセキュリティの企画管理者をサポートする必要があります。そして適切なサイバーセキュリティ対策が実施できるように支援をします。そしてシステム運用担当者は企画管理者の指示、考え方に基づいてセキュリティ対策の具体的な技術展開をします。

医療業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。

おすすめ記事

医療分野のIT/OTサイバーリスクを軽減する5つの重要な対策

医療分野におけるIT/OTサイバーセキュリティのリスクを軽減するための5つの重要な対策について解説します。

「医療法施行規則」はどのように日本の医療情報システムのサイバーセキュリティ対策を強化するのか

このホワイトペーパーでは、TXOneが日本の「医療法施行規則」を深く掘り下げ、このガイドラインによって提示された目的と概要を説明します。また、ガイドラインと医療機関がサイバーセキュリティを強化する方法についても解説しています。

医療用OTシステムをサイバー脅威から守る。米国保健福祉省の「サイバーセキュリティ対策」

医療機関が直面している最近の脅威を分析し、患者と組織をサイバー攻撃の脅威から保護するために、サイバーフィジカルシステム（CPS）保護ソリューションに慎重に投資すべき理由を説明します。