京都医報

2022年8月15日号

理事解説 百考千思

理事 松田 義和

理事解説 〜サイバーセキュリティ〜

1.はじめに

 医療機関をターゲットとしたサイバー攻撃などについて,すでに会員の先生方におかれましては,ご存じのことと思います。
 近年,インターネットの急速な普及によるさまざまなサービスは我々医療業界でも必須のインフラになっており,さまざまな医療情報を必須事項として扱わなければならない我々にとって,医療上のセキュリティの担保は必須の課題と思います。ただし,一般企業と比較し医療機関のセキュリティ対策は十分とはいえない状態です。また,日医も,2020年のマルウェア感染により業務に多大な影響をうけたことからセキュリティ対策を各都道府県医に打ち出しています。
 ことに医療機関をターゲットとしたランサムウェア(医療情報を削除するという脅しをかけて,その身代金に法外な額を要求するケース)が発生し,復旧に時間がかかり診療に非常に大きな影響がでたことが問題となりました。
 府医においても,さまざまな業務にネット環境は必須な状況でセキュリティ対策に本格的に取組んでおりますが,会員の先生方にもそれぞれの医療機関ごとの対策の必要性が非常に高まっております(図1,2)。

図1
図2

2.もはやゼロリスクはない

 サイバーセキュリティ対策について,以前は個々のパソコンのウイルス対策などをしっかりすることによって,ゼロリスクをめざしていました。ところが,近年のサイバー攻撃は非常に巧妙化しており,いくらしっかりとした対策をとったとしても,完全に防ぐことはもはやできないと考えるべきです。現在問題となっている攻撃パターンをまず理解し,それぞれに対策することは必須ですが,万一攻撃された場合にどうするのか,当事者意識をもって,事前にしっかり準備しておくことが求められています。

3.まず行ってほしいこと

 まず,現在ご自身の医療機関でどのような機材が稼働しているのか,まずは把握することが必要です。電子カルテあるいはレセプトコンピューター端末・サーバー・受診予約システム,検査・レントゲンサーバーなどは,主に業者が管理されていると思いますが,各業者に再度確認していただくとともに複数の業者で回線を共有している場合には調整をお願いしなければいけないこともあります。また,それ以上に同じ院内ネットワークの中で,会員の先生方ご自身の個人用のパソコンやタブレット・スマホを使われている際には,その端末ごとの対策も必要となっています。まずはすべての端末をリストアップし,それぞれに対してどのような業務が稼働しており,現在どのようなセキュリティ対策をなされているか確認いただきたく思います。特に個人利用の端末と,医療業務のネットワークが同一の場合には注意が必要と思います。PCではマイクロソフトの標準ウイルス対策だけではすり抜けた例もあります。製品版の総合セキュリティ対策ソフトの導入,場合によってはネットワークセキュリティー対策ボックス(UTM),持ち歩き端末の管理ソフトの導入,サイバーリスク保険の加入などもご検討いただければと思います。

4.メールに注意!

 しっかりとしたネットワーク対策をしていても,メールの添付文書からネットワーク内部に不正アプリが入り込んでしまうというケースが目立ちます。かなり巧妙なタイトル名や内容になっています。日医の被害もメールから「Emonet」というウイルスが入り込んだことから発生しています(図3,4)。メール端末はネットワークから切り離して4G回線を使用するなどの対策も必要かもしれません。

図3
図4

5.データ保全の基本

図5

 医療機関におけるデジタル情報に関しては,医療情報を含む個人情報が多くを占めています。診療に不可欠な情報に関しては,バックアップが必須です。このバックアップがいざという時の復旧の成否にかかわるといっていいと思います。重要なデータに関しては「3-2-1ルール」が基本となります。まず「3個以上のデータ」を,「2種類以上の媒体」で保存し,なおかつ「最低1つはネットと遮断したオフライン状態」で保存する,というものです(図5)。

 たとえばサーバーやPCのハードディスクを2重化し,その上でDVDなどの光学メディアをPCから切り離して保存するなどの方法があります。それぞれの医療機関ごとの状況にあわせて業者などに確認の上,ご考慮いただければと思います。

6.いざ被害にあったとき

 考えたくはないのですが,いざネット被害にあった際にどうするか,あらかじめ準備しておく必要があります。事前に業者とも打ち合わせをする必要がありますし,個人用PCの被害など含めて,いつでも相談できる窓口がいくつかあります。

 日医においては令和4年6月22日に具体的な支援を打ち出しました。また年中無休のサイバーセキュリティ相談窓口を設置し,具体的な相談事業を開始しています。詳細は以下をご覧ください。
https://www.med.or.jp/japanese/members/info/cyber_shien.html

図6

 また,それ以外にも,契約されている業者に相談されるのはもちろんのこと,警察やIPA(独立行政法人情報セキュリティ相談窓口)などに相談することも可能です。被害の程度によってはサイバーレスキュー隊が援助してくれます(図6)。ランサムウェアの取引などで大きな被害を出す前に,あせらずにまずは上記の相談窓口に連絡してください。

・日本医師会サイバーセキュリティ相談窓口
 日医A会員のみ。年中無休午前9時から午後9時まで。連絡先 0120-179-066
・京都府警察本部サイバー犯罪対策課ネットセキュリティ・サポートセンター
 075-451-9111
・独立行政法人情報セキュリティ相談窓口
 03-5978-7509
参考資料) 令和4年2月9日 日本医師会システム協議会 (当日資料より抜粋)

2022年8月15日号TOP

関連記事