医療機関のサイバーセキュリティ|開業医、クリニックがまず実施すべき対策
近年、医療機関を標的としたサイバー攻撃が急増しており、患者の個人情報や診療データなど、機密性の高い情報を扱う医療機関にとって、サイバーセキュリティ対策は喫緊の課題となっています。本コラムでは、厚生労働省からの注意喚起を踏まえ、医療機関が取るべきサイバーセキュリティ対策、特に小規模な医療機関でも実施できる対策について詳しく解説します。
目次
医療機関を取り巻くサイバー脅威の現状
医療・福祉関連機関を標的としたランサムウェア
近年、医療福祉分野においてランサムウェア攻撃の被害が増加しており、社会的な問題となっています。攻撃者は、医療機関がサービス中断を避けるためにより早く身代金を支払う可能性が高いと考え、この分野を標的としています。
警察庁「サイバー事案の被害の潜在化防止に向けた検討会 報告書 2023」
医療機関がサイバー攻撃の標的となりやすい背景
医療機関がサイバー攻撃の標的となりやすい背景には、複数の要因が絡み合っています。まず、患者の医療情報という極めて機微な個人データを大量に取り扱うことが挙げられます。ビジネス化されたサイバー犯罪ではこの情報は高い価値を持ち、攻撃者にとって魅力的な標的となっています。
さらに、医療機関の業務は複雑なサプライチェーンに依存しており、医療機器メーカー、薬品会社、検査機関など多くの外部組織とデータのやり取りを行います。この多層的なネットワークは、攻撃者に多様な侵入経路を提供してしまう可能性があります。加えて、医療業界に限らず社会全体でIT人材が不足している現状も、脆弱性を増大させる要因となっています。多くの医療機関では、専門的なサイバーセキュリティ知識を持つスタッフが不足しており、最新の脅威に対応するための体制構築が追いついていません。これらの要因が複合的に作用し、医療機関をサイバー攻撃に対して脆弱な状態に置いています。
オンライン資格確認(マイナンバーカードの保険証利用)
「オンライン資格確認」システムの導入は、患者の保険資格をリアルタイムで確認できるようになった一方で、新たなネットワークを敷設するなど院内のネットワークが複雑になる場合があります。
Web予約受付システム
近年普及が進むクラウド型の予約受付システムも、患者サービスの向上に寄与していますが、このシステムに接続するための院内パソコンのセキュリティが新たな懸念事項となっています。これらのパソコンは、患者の個人情報や予約データへのアクセスポイントとなるため、適切なセキュリティ対策が不可欠です。しかし、IT人材不足など、十分にパソコンが管理されていない場合があります。例えば、オペレーティングシステムやアンチウイルスソフトウェアの更新が適時行われていない、不要なソフトウェアがインストールされている、または強力なパスワードポリシーが実施されていないなどの問題が見られます。
最低限実施すべき3点の措置
医療機関等のサイバーセキュリティ対策については、「令和6年度版「医療機関におけるサイバーセキュリティ対策チェックリスト」及び「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関・事業者向け~」について」等で対策を求めてはいるものの、セキュリティ事故が後を絶ちません。
そこで、令和6年8月1日に厚生労働省から各都道府衛生主管部(局)宛てに、特に迅速に対応いただきたい事項として3点を連絡しています。
パスワードを強固なものに変更し、使い回しをしない
ネットワーク装置や各種システムのパスワードを初期状態で利用したり、推測可能な文字列であったりと脆弱な利用方法であったことが原因で攻撃を受けた医療機関が確認されています。強固なパスワードとは、長さと複雑さ(大文字、小文字、数字、特殊文字の組み合わせ)を備えたものです。また、パスワードを複数のシステムで使い回さず、各アカウントで異なるパスワードを使用することで、一つのアカウントが侵害されても、他のアカウントへの影響を最小限に抑えることができます。
パスワード3原則「長く、複雑で、使い回さない」に従って強固なパスワードを利用しましょう。
本対策は特別な機器やスキルは必要ありません。今すぐに実行できる対策です。
IoT機器を含む情報資産の通信制御を確認する
医療機関では、多様なIoT機器や医療機器がネットワークに接続されています。これらの機器が適切に管理されていないと、サイバー攻撃の入口となる可能性があります。
通信制御の確認とは、各機器がどのような通信を行っているか、どのポートを使用しているか、そしてその通信が本当に必要なものかを精査することを意味します。不要な通信や開放ポートを特定し、それらを制限することで、攻撃の機会を減らすことができます。
具体的な手順としては、まず機器の棚卸しを行い、各機器の通信状況を把握します。次に、ファイアウォールやルータを活用して、必要最小限の通信のみを許可するよう設定します。特に、医療機器と一般のIT機器は別のネットワークセグメントに配置し、相互の通信を必要最小限に制限(原則として相互接続しない)することが重要です。
ネットワーク機器の脆弱性に、ファームウェア等の更新を迅速に適用する
ネットワーク機器の脆弱性は、サイバー攻撃者にとって格好の侵入口となります。
これらの脆弱性に対処するため、ファームウェアやソフトウェアの更新を迅速に適用することが極めて重要です。
具体的な対策としては、以下の手順を踏むことをお勧めします。
1. ネットワーク機器の棚卸しを行い、各機器の現在のファームウェアバージョンを把握する。
2. 各機器のメーカーが提供する最新のアップデート情報を定期的にチェックする体制を整える。
3. 重要度の高い更新プログラムについては、テスト環境での検証後、可能な限り迅速に本番環境へ適用する。
4. 更新作業の手順を文書化し、担当者間で共有する。
5. 自動更新機能がある場合は、適切に設定して活用する。
この対策は一度実施して終わりではなく、定期的な情報収集と対応が必要となりますので、適切な体制作りが重要です。
また、ネットワーク機器のメンテナンスを外部ベンダに依頼している場合は、対応内容を確認しましょう。
・ベンダが管理してくれているものと思っていた
・保守が切れたけど、そのまま使っていた
などの、機器の運用や保守に関する責任分界点があいまいであることが原因としてサイバー攻撃にあうことが考えられます。
次のステップとして検討する事項
最低限実施すべき3点の対策が完了したら、段階的に対策を広げていきましょう。しかし、医療機関にとって、サイバーセキュリティ対策は重要でありながらも、リソースの制約から実施が難しい課題となっています。しかし、適切な対策を効率的に実施することで、限られた予算と人員でも十分な防御態勢を構築することが可能です。
アクセス権限の強化、アカウントの棚卸
まず、アクセス制御の強化から始めましょう。小規模な医療機関では、すべての職員が多くの情報にアクセスできる傾向がありますが、これはセキュリティリスクを高めます。そこで、各職員の役割に応じて適切なアクセス権限を設定することが重要です。例えば、医師と看護師では閲覧できる患者情報の範囲を区別したり、事務職員は会計システムにのみアクセスできるようにしたりします。また、多要素認証の導入も有効です。スマートフォンアプリを使用したワンタイムパスワードなど、コストを抑えつつ効果的な方法があります。これらの対策により、不正アクセスのリスクを大幅に低減できます。
バックアップの取得
バックアップと復旧計画の策定は、小規模医療機関にとっても非常に重要です。ランサムウェア攻撃などの脅威に備え、定期的なデータバックアップは必須です。
3-2-1ルール(3つのバックアップコピー、2種類の異なるメディア、1つはオフサイト保管)がベストですが、規模に合わせて簡略化し、例えば毎日のクラウドバックアップと週1回の外付けハードディスクへのバックアップを組み合わせるなど、無理な運用で実施しなくなるより、無理せず実行可能な方法を検討しましょう。また、バックアップからの復旧手順を文書化し、定期的に(例えば3ヶ月に1回)テストすることで、いざという時に迅速に対応できるようになります。
スタッフの教育
セキュリティ意識向上トレーニングは、小規模医療機関でこそ効果的に実施できます。全職員を対象とした年1回の勉強会を開催し、フィッシングメールの見分け方や安全なパスワード管理方法などを学びます。また、日々の朝礼や定例ミーティングの一部を利用して、短時間のセキュリティトピック共有を行うことも効果的です。小規模組織の強みを活かし、職員間で気軽にセキュリティについて話し合える雰囲気を作ることが大切です。
インシデント対応計画
インシデント対応計画は、規模に関わらずすべての医療機関に必要不可欠です。小規模医療機関では、複数の役割を1人が担当することになるかもしれませんが、基本的な対応手順を文書化し、全職員で共有することが重要です。
インシデント対応計画というと物々しいですが、すぐに実施できる基本的なことは、セキュリティインシデントが発生した場合の連絡先を確認、共有しておくことです。
地域の医師会のほか、厚生労働省医政局特定医薬品開発支援・医療情報担当参事官室へも連絡します。
厚生労働省「医療機関等がサイバー攻撃を受けた際の厚生労働省連絡先」
これらの対策を段階的に導入し、継続的に改善していくことで、小規模医療機関であっても強固なサイバーセキュリティ態勢を構築することが可能です。重要なのは、最初から完璧を目指すのではなく、現実的かつ効果的な対策を着実に実施していくことです。サイバーセキュリティは終わりのない取り組みですが、患者データを守り、医療サービスの継続性を確保するために不可欠な投資であることを忘れないでください。
医療機関向け各種ガイドライン
医療機関向けの各種ガイドラインです。リンクは令和6年9月現在のものです。
厚生労働省
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
個人情報保護委員会、厚生労働省
医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス
https://www.mhlw.go.jp/content/001235843.pdf
総務省、経済産業省
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html
医療機関向けサイバーセキュリティQ&A
Q1:小規模な診療所でも包括的なセキュリティ対策は必要ですか?どこから始めるべきでしょうか?
A1: 規模に関わらず、すべての医療機関で適切なセキュリティ対策が必要です。まずは、本コラムの記載通りの最低限実施すべき3点から始めましょう。一度に完璧を求める必要はなく、できることから少しずつ始め、徐々にセキュリティレベルを向上させていくことが重要です。
Q2:医療関係の外部ベンダとどのように連携すべきですか?
A2: 医療関係の外部ベンダとの連携は非常に重要です。以下のような方法で連携を強化できます。
1. 定期的な情報交換:セキュリティアップデートや脆弱性情報について、定期的にベンダと情報交換を行います。
2. サポート契約の確認:セキュリティアップデートが含まれるサポート契約を結んでいるか確認し、必要に応じて契約内容を見直します。
3. リモートアクセスの管理:ベンダによるリモートメンテナンスが必要な場合、そのアクセス方法とセキュリティ対策について十分に協議します。
ベンダとの良好な関係を築き、継続的なコミュニケーションを図ることで、医療機器のセキュリティを効果的に管理できます。
Q3: 開業医やクリニックのWebサイトのセキュリティで気を付けるべき点は何ですか?
A3: 以下の点に特に注意を払う必要があります。
1. SSL/TLS証明書の導入:
Webサイト全体をHTTPS化し、データ通信を暗号化します。これにより、患者とWebサイト間の通信が傍受されるリスクを軽減できます。
2. 定期的なソフトウェアアップデート:
WordPressなどのCMS(コンテンツ管理システム)を使用している場合、CMSとそのプラグインを常に最新の状態に保ちます。古いバージョンには脆弱性が存在する可能性が高いためです。
3. 強力なパスワード設定:
管理画面へのアクセスには、複雑で推測困難なパスワードを使用します。
4. 不要な機能・プラグインの削除:
使用していない機能やプラグインは、攻撃の対象となる可能性があるため、削除します。
6. アクセス制限の設定:
管理画面へのアクセスを特定のIPアドレスからのみに制限するなど、不正アクセスのリスクを軽減します。
7. 患者情報の取り扱い:
Webサイト上で患者情報を取り扱う場合(予約システムなど)、情報の暗号化や適切なアクセス制御を行います。可能な限り、患者の個人情報をWebサイト上に保存しないようにします。
まとめ
医療機関におけるサイバーセキュリティ対策は、患者の安全と信頼を守るために不可欠です。まずは、強固なパスワード管理、IoT機器の通信制御、そしてネットワーク機器の脆弱性対策という3つの基本的な対策から始め、徐々により包括的な対策へと拡大していくことが重要です。
患者の命と個人情報を守るという使命を果たすためにも、サイバーセキュリティ対策の強化に積極的に取り組みましょう。そうすることで、より安全で信頼される医療サービスの提供が可能となり、結果として患者満足度の向上にもつながるはずです。