サイバーセキュリティ対策義務化─医療機関に求められる取り組みは？【まとめてみました】

医療機関に対するサイバー攻撃は近年増加傾向にあり、大きな脅威となっている（表1参照）。昨年10月には、大阪急性期・総合医療センターで、ランサムウェア（端末等に保存されているデータを暗号化して使用できない状態にし、対価を要求する不正プログラム）を用いたサイバー攻撃によりファイルが暗号化され、電子カルテが使用不能となる事案が発生。緊急以外の手術や新規外来患者の受け入れなど診療の大半を停止せざるを得ない事態となった。

こうした状況を受け、厚労省は、医療機関にサイバーセキュリティ対策を義務づけることを決め、病院、診療所、助産所の管理者が遵守すべき事項として「医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置を講じること」を追加した改正省令を3月10日に公布、4月1日に施行した。

ガイドラインを大幅に見直し

「必要な措置」として厚労省が想定しているのは、最新の「医療情報システムの安全管理に関するガイドライン」を参照の上、セキュリティ対策全般について適切な対応を行うこと。ガイドラインは現在、厚労省の健康・医療・介護情報利活用検討会「医療等情報利活用ワーキンググループ（WG）」で改定作業が行われており、パブリックコメントの募集（3月下旬～4月下旬）を経て、5月中旬頃、最新版（第6.0版）が公表される予定だ。

ガイドラインは、従来の「本編＋別冊」の構成から「概説編」「経営管理編」「企画管理編」「システム運用編」の4編構成に変更するなど大幅に見直される。内容が多岐にわたることから、厚労省は医療機関が優先的に取り組むべき事項をまとめた「サイバーセキュリティの確認のためのチェックリスト」を別途作成し、近く公表するとしている。3月23日の医療等情報利活用WGではチェックリストの原案が示された（表2参照）。

深刻化するランサムウェア被害

厚労省は4月中にチェックリスト、5月中にガイドライン第6.0版を公表し、6月からサイバーセキュリティ確保の取組状況を含めた医療機関への立入検査を開始する方針だ。医療機関にとっては準備期間が短いため、現場での混乱も予想される。ランサムウェアなどのサイバー攻撃から身を守るために、医療機関が最低限実施しなければならないセキュリティ対策とは何か。

3月24日には一般社団法人サイバーセキュリティ連盟主催のセミナーが都内で開かれ、株式会社網屋データセキュリティ事業部の杉浦和希氏が医療機関に求められるセキュリティ対策について解説した。

杉浦氏によると、国内でランサムウェア被害が最も多い業種は「製造業」で「医療・福祉」は現状（2022年上半期）では全体の8%と少ないが、海外では医療機関が被害の対象となるケースが多く、米国のFBIが公表しているランサムウェアに関する2022年の調査レポートでは、「ヘルスケア・パブリックヘルス」の被害件数が210件と突出して多い。

ランサムウェアの感染経路は、日本の場合は「VPN（仮想プライベートネットワーク）機器からの侵入」「リモートデスクトップからの侵入」「不審メールや添付ファイル」、米国の場合は「フィッシングメール」「リモートデスクトップの悪用」「ソフトウェアの脆弱性の悪用」が多いという。

「侵入ルートはある」を前提に

近年の医療機関の被害事例を踏まえ、杉浦氏は「病院では従来、『インターネット分離』の考え方で対策が行われてきたが、完全にインターネット分離をするのは不可能な時代になってきている。『侵入ルートはある』を前提に対策を行う必要がある」と強調。「インターネット分離」をベースに、コストがかからない対策を優先的に進めるべきだとして①アンチウイルスソフト（Windows標準の「Windows Defender」を有効に）、②侵入ルートのセキュリティレベル向上、③ネットワーク機器、サーバー、PCのソフトウェアの脆弱性是正、④スタッフの教育（不審メールの添付ファイル・URLを開かないなど）、⑤データのバックアップ─の5点を求めた。

データのバックアップについては「保護したいデータを3カ所に保持」「2つの異なる形態のデバイスに保存」「1つのオフサイト（別の場所）に保存」の「3-2-1ルール」を適用するのが有用だとした。

この日のセミナーでは、前橋赤十字病院の情報システム担当者を交えたトークセッションも行われ、病院とシステムのベンダーが主従関係ではなく、共通の敵に立ち向かうパートナーとして連携することの大切さなどが指摘された。

効果的なセキュリティ対策を短期間に進めるためには、医療機関同士の積極的な情報交換、関係業者との連携強化が不可欠といえそうだ。

　出典：Web医事新報