薬局向けサイバーインシデント発生時の事業継続計画をわかりやすく解説
近年、医療機関等へのサイバー攻撃が増加する中、サイバー攻撃の被害による診療停止や個人情報の大規模な流出等も発生しており、薬局もその脅威の例外ではありません。薬局におけるサイバーセキュリティの確保についても義務化され、2024年度中には各薬局においてもサイバーインシデント発生時の事業継続計画を策定することが求められています。
本コラムでは、日本薬剤師会のひな形を取り上げ、薬局向けサイバーインシデント発生時の事業継続計画(BCP)について解説します。
目次
薬局におけるサイバーセキュリティの重要性
医療機関等へのサイバー攻撃が増加
警察庁が公開しているデータによると、近年、医療・福祉分野に対するサイバー攻撃が増加しており、直近も高水準で推移してます(図)。実際に2021年から2024年まで、病院のランサムウェア被害が毎年公表されており、2021年と2022年に発生した事案では、電子カルテをはじめとする院内システムが停止したことで診療が停止し、通常診療の再開までに約2か月の期間を要するなど、大きな影響がありました。
薬局におけるサイバー攻撃の被害事例
海外においては、サイバー攻撃により薬局が大きな被害を受けています。最近の大きな被害としては、2024年6月にアメリカ第3位のドラッグストアチェーンであるライト・エイドがランサムウェアの被害を受け、顧客の個人情報220万人分が流出しました。2024年4月には、カナダのドラッグストアチェーンであるロンドン・ドラッグスがランサムウェアの被害を受け、西カナダ全域の約80の店舗を約1週間の間、閉鎖することになりました。日本国内においては、薬局のサイバー攻撃による大規模な被害の報道は見当たりませんが、サイバー攻撃による脅威は、薬局もその例外ではありません。
薬局に求められるサイバーセキュリティのガイドライン&チェックリスト
薬局におけるサイバーセキュリティ対策の義務化
先に記載の医療機関に対するサイバー攻撃の増加、サイバー攻撃による診療停止事案の発生、医療に関する個人情報の大規模な窃取・流出の可能性等を踏まえ、薬局におけるサイバーセキュリティの確保については、2023年4月1日に施行された「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則の一部を改正する省令」において、薬局の管理者の尊守事項として、必要な措置を講じることが明確化され、サイバーセキュリティ対策が義務化されました。
薬局におけるサイバーセキュリティの確保に必要な措置
薬局におけるサイバーセキュリティの確保に必要な措置については、最新の「医療情報システムの安全管理に関するガイドライン」を参照の上、サイバー攻撃に対する対策を含めセキュリティ全般について適切な対応を行うこととなっています。さらに、その中で優先的に取り組むべき事項については、2024年5月に厚生労働省が「薬局におけるサイバーセキュリティ対策チェックリスト」を作成し、公開しています。
(参考:厚生労働省 「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則の一部を改正する省令の施行等について
(令和5年3月31日薬生発0331第14号厚生労働省医薬・生活衛生局長通知)」、
「医療情報システムの安全管理に関するガイドライン」、
「薬局におけるサイバーセキュリティ対策チェックリスト」)
厚生労働省が公表するこれらのガイドラインやチェックリストについての解説は、以下のコラムをご参照ください。
薬局に求められるサイバー攻撃を想定した事業継続計画(BCP)
サイバー攻撃を想定した事業継続計画(BCP)策定の確認表/手引き
「薬局におけるサイバーセキュリティ対策チェックリスト」には、インシデント発生に備えた対応として「サイバー攻撃を想定した事業継続計画(BCP)を策定している。」というチェック項目があります。これについて、2024年6月に厚生労働省から「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表」が示され、同確認表を分かりやすく解説した「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き」も合わせて公開されました。
(参考:厚生労働省 「【薬局用】サイバー攻撃を想定したBCP策定の確認表」)
インシデント発生時の事業継続計画(BCP)の薬局向けひな形
2024年7月には、日本薬剤師会が薬局における事業継続計画策定を支援するため、「サイバーインシデント発生時の事業継続計画(BCP)薬局向け雛形」を作成・公開しました。本資料は、あくまでひな形であるため、もちろんそれぞれの薬局における状況や実態を考慮・反映する必要があります。しかし、各薬局がひな形なしでサイバーインシデント発生時の事業継続計画を作成・策定するのと比較して、円滑な策定に役立てることができます。
(参考:日本薬剤師会 「サイバーインシデント発生時の事業継続計画(BCP)薬局向け雛形」)
ひな形を活用した自社薬局の事業継続計画(BCP)の作成
厚生労働省は、2024年6月に「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表」を公開した際に、主に病院を想定した「医療情報システム部門等における事業継続計画(BCP)のひな形」も合わせて公開しています。厚生労働省が公開した病院向けのひな形と日本薬剤師会が公開した薬局向けのひな形の違いは何でしょうか。
2つのひな形を見比べてみると構成・目次はほぼ同じであり、厚生労働省が公開した病院向けのひな形をベースとして、薬局向けに一部を変更していることが分かります。例えば「病院、医療機関」「診療継続」「経営者」といった単語をそれぞれ、「薬局」「薬剤師・薬局サービス継続」、「開設者」といったように薬局向けに変更しています。また、病院を想定して書かれていた組織体制、業務内容、システムなども薬局を想定した内容に変更しています。さらに、各システムが利用できなくなった場合の代替手段例や、バックアップの作成・復旧方法例についても、薬局の実態を反映した内容になっています。
このように、日本薬剤師会が公開したひな形は、薬局の特性に応じた変更が加えられているため、各薬局の円滑な事業継続計画の策定に役立てることができるでしょう。
日本薬剤師会のひな形を活用し、ここからさらに一歩踏み込んで、自薬局のシステム運用状況やベンダー等との契約状況、薬局における実際の運用の実態などを考慮し、反映することで、自薬局におけるサイバーインシデント発生時の事業継続計画(BCP)を作成することができます。
(参考:厚生労働省 「医療情報システム部門等におけるBCPのひな形」)
事業計画策定(BCP)のポイント
策定時に気を付けるべきポイント
事業継続計画の策定時には、実効性のあるものとするために、ひな形に頼り切るのではなく、自薬局が主体となり必要な事項を整理し定めることが重要です。厚生労働省が公開している「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き」には、策定時の留意点についても記載されていますので確認しましょう。
留意点の1つとして、事業継続計画を策定する上で考慮に入れるべきシステムを漏らさないということがあります。薬局向けのひな形には対象とする医療情報システムとして、電子調剤録(電子薬歴)システム、会計システム(レセコン)、調剤機器システム、電子お薬手帳システムなどが記載されていますが、 医療情報システムとは、医療に関する患者情報(個人識別情報)を含む情報を取り扱うシステムを指します。そのため、何らかの形で患者の情報を保有するコンピューター、遠隔で患者の情報を閲覧・取得するコンピューターや携帯端末等も対象として想定されます。自薬局の状況と実態を踏まえてこれらを考慮に入れ、各対象(システム)が利用できなくなった場合の影響を検討し、影響を受ける業務内容の代替手段を定めておく必要があります。
なお、東京都薬剤師会は、日本薬剤師会のひな形とは別に薬局向け雛形(都薬版)を作成し公開しています。この中では、他のひな形の構成を基本的に引き継ぎつつ、薬局に影響を及ぼす可能性のあるリスク(脅威)についての記載例を強化し、作成のポイントをひな形内に記載するなど、記載が充実化されています。事業継続計画の作成時には、厚生労働省の資料や日本薬剤師会のひな形の他にも、関係団体等により示されている事業継続計画に関する手引きを適宜参照して作成しましょう。
(参考:厚生労働省「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き」、
東京都薬剤師会 「サイバーインシデント発生時のBCP 薬局向け雛形(都薬版)」)
策定後に気を付けるべきポイント
事業継続計画策定後には、まず全従業員への周知が不可欠です。事業継続計画の内容や各自の役割を理解させ、緊急時の対応能力を高めます。定期的な訓練も重要で、机上演習や訓練を通じて、計画の実効性を確認し、改善点を洗い出します。
さらに、事業継続計画は定期的な見直しが必要です。事業環境の変化、新たなリスクの出現、訓練で明らかになった課題などを反映し、常に最新かつ実効性のある計画に更新します。また、見直しの際には事業継続計画に関連する書類の分量が増えすぎないように気を付けることも必要です。有事に事業継続計画を発動する際、手順の確認に手間取るといった事態を避ける必要があります。
これらの取り組みにより、組織全体の危機対応力が向上し、いざという時に迅速かつ効果的な対応が可能となります。
まとめ
昨今のサイバー攻撃の洗練化・巧妙化により、サイバー攻撃を100%防ぐことは困難な状況ですが、その被害や影響を低減することは可能です。実際に2024年に発生した病院のランサムウェア被害事案では、電子カルテを含むシステムで障害が発生するも、紙カルテを用いた診療体制に運用を切り替え、医療サービスの提供へ直接的な影響が発生しないようにできました。サイバー攻撃に備えた実効力のある事業継続計画策定が安全かつ持続的な薬剤師・薬局サービス提供および事業の保護につながります。
(参考:日本薬剤師会「医療情報システムの安全管理について」)