薬局向けサイバーセキュリティ対策チェックリストをわかりやすく解説

薬局向けサイバーセキュリティ対策チェックリストをわかりやすく解説
2024.5.23

近年、サイバー攻撃の脅威は急速に拡大しており、医療分野においてもその対策が急務になっています。そのような背景から、厚生労働省では、2023年10月に「薬局におけるサイバーセキュリティ対策チェックリスト」を公表し、2024年度中にすべての項目に対応するよう求めています。
薬局では、患者の個人情報や医療情報を取り扱うため、これらの情報が漏えいすれば、患者にとって大きなリスクとなるだけでなく、薬局の信頼性も大きく低下する可能性があります。 本コラムでは、薬局におけるサイバーセキュリティの重要性と厚生労働省が公表するガイドラインやチェックリストの内容について解説します。

セキュリティ無料相談

目次

薬局におけるサイバーセキュリティの重要性

医療機関等へのサイバー攻撃が増加

2023年4月に警察庁が公表した「サイバー事案の被害の潜在化防止に向けた検討会報告書 2023」によると、医療・福祉分野におけるランサムウェア攻撃による被害件数は増加傾向となっています。
大きく報道されていたため、ご存じの方も多いと思いますが、国内の医療機関においてランサムウェア攻撃によりデータが暗号化され、電子カルテシステムが利用できなくなるなどの深刻な被害も発生しています。

医療・福祉分野におけるランサムウェア被害件数

(出典:警察庁 サイバー事案の被害の潜在化防止に向けた検討会報告書 2023

医療分野におけるDXの推進

保険医療機関・保険薬局においては2023年4月からオンライン資格確認の導入が原則義務化されました。
オンライン資格確認とは、マイナンバーカードのICチップや健康保険証の記号番号等を活用して、オンラインで資格情報を確認できる仕組みのことです。オンライン資格確認の導入により、以下のようなメリットがあります。

  • 医療機関・薬局の窓口で、患者の方の直近の資格情報等(加入している医療保険や自己負担限度額等)が確認できるようになり、期限切れの保険証による受診で発生する過誤請求や手入力による手間等による事務コストが削減できる
  • マイナンバーカードを用いた本人確認を行うことにより、医療機関や薬局において特定健診等の情報や診療/薬剤情報を閲覧できるようになり、より良い医療を提供できる

(参考:厚生労働省 オンライン資格確認の導入について(医療機関・薬局、システムベンダ向け)

このように業務効率化や利便性向上を目的とした医療分野へのDXが推進されています。その一方で、システムがサイバー攻撃を受け、情報漏えいなどが発生すれば、重大なセキュリティ事故に発展する可能性があります。そのため、適切な管理の下でシステムを利用することが求められます。

薬局に求められるサイバーセキュリティのガイドラインについて

薬局に求められるサイバーセキュリティのガイドラインとしては、厚生労働省が公表している「医療情報システムの安全管理に関するガイドライン」があります。 本ガイドラインは2005年3月に初版が策定され、技術の進展及び制度改定などに対応しながら改定が重ねられ、現在は2023年5月に公表された第6版が最新です。
最新の第6版は以下のとおり大きく4つに分類され、全ての読者を想定した概説編、経営者を対象とした経営管理編、システム管理者を対象とした企画管理編、システムの運用担当者を対象としたシステム運用編となっており、それぞれの役割の中で行うべきサイバーセキュリティ対策について記載されています。

ガイドラインの構成

(出典:厚生労働省 医療情報システムの安全管理に関するガイドライン第6.0 版 概説編

しかしながら、経営管理編は23ページ、企画管理編は59ページ、システム運用編では52ページとそれなりにボリュームがあります。そのため、厚生労働省ではガイドラインをまとめたチェックリストも作成しており、2023年4月には医療機関向け、そして同年10月には薬局向けに公表を行っています。

それ以外に参考とすべきものとして、個人情報保護委員会が公表している「医療・介護関係事業者における個人情報の適切な取り扱いのためのガイダンス」があります。 医療情報システムの安全管理は、患者の診療情報をはじめとする個人情報が適切に取り扱われていることが前提となるため、合わせて確認しましょう。

(参考:個人情報保護委員会 医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス

薬局に求められるサイバーセキュリティのチェックリストについて

「薬局に求められるサイバーセキュリティチェックリスト」は、薬局向けと事業者確認用の2種類あり、薬局内だけでなく医療情報システムを管理・運用する事業者に対しても必要な対策が実施されているかを確認することになっています。
薬局向けのチェックリストは、大きく【体制構築】、【医療情報システムの管理・運用】、【インシデント発生に備えた対応】の3つに分かれます。

体制構築

ここでは、医療情報システム安全管理責任者の設置状況について確認されています。
薬局においては、医療情報システムの安全管理を行う「医療情報システム安全管理責任者」や、医療情報システムの実装・運用を担う「システム運用担当者」を設置する必要があります。 「医療情報システム安全管理責任者」の役割は、情報セキュリティ方針の策定及び教育・訓練を含む情報セキュリティ対策を推進することであり、 小規模な薬局の場合には、システム運用担当者と合わせて薬局の管理者が兼任するケースもあるでしょう。

医療情報システムの管理・運用

医療情報システムの管理・運用の項目では、主に以下の点について確認されています。

  • サーバ、端末PC、ネットワーク機器の管理台帳の作成
  • 医療情報システムの利用者の職種や担当業務に応じたアクセス権限の設定
  • 医療情報システムに対するアクセスログの取得
  • サーバー、端末PC、ネットワーク機器に対する最新のセキュリティパッチの適用
  • ネットワーク機器の接続元制限

特に重要なのは1つ目の管理台帳の作成です。2つ目以降の対策を適切に行うためには、薬局内にあるIT資産を正確に把握し、漏れなく抽出する必要があります。 仮に抽出が漏れてしまうとそのサーバーや端末PCにだけセキュリティパッチを適用することができず、サイバー攻撃を受ける可能性が高くなります。
また、管理台帳については定期的に見直しを行い、常に最新の情報を保つようにしましょう。


ALSOKがおすすめする商品

ALSOKでは、システムの導入から運用まで一括でサポート可能な「ALSOK IT資産管理」をご提供しています。「ALSOK IT資産管理」では、パソコンやスマートフォン、タブレット、プリンタ等あらゆるIT資産を一元管理することが可能です。また、ソフトウェアのバージョン管理や、USBメモリ等の外部メディアへのデータコピーを制御して不正持ち出しを未然に防いだりすることもできます。
日ごろの業務で資産管理にまで手が回らないと悩んでおりましたらぜひご相談ください。

また、ネットワーク機器に対する最新のセキュリティパッチの適用とネットワーク機器の接続元制限への対応については、「ALSOK UTM運用サービス」の導入もおすすめです。運用・保守をALSOKにアウトソースできますので、日々の業務に専念いただけます。

インシデント発生に備えた対応

インシデント発生に備えた対応としては、以下の点が確認されています。

  • インシデント発生時の組織および外部関係機関との連絡体制
  • インシデント発生時に調剤を継続するために必要な情報の検討
  • 調剤を継続するために必要なデータやシステムのバックアップの実施および復旧手順の確認
  • サイバー攻撃を想定した事業継続計画(BCP)を策定

インシデントが発生した際に速やかに対応できるようにするためには、事前準備や定期的にサイバー攻撃が発生した場合を想定した訓練を行うことが重要となります。
データやシステムのバックアップはとても重要な対策になりますが、ランサムウェア攻撃の場合、システムだけでなくバックアップファイルまで暗号化されてしまう可能性もあります。 そのため、仮にバックアップからデータやシステムが復旧できなかったとしても業務を継続できるよう事業継続計画(BCP)を策定しておきましょう。

まとめ

「薬局に求められるサイバーセキュリティのチェックリスト」の項目は、2024年度中にはすべての項目に対応する必要があり、 立入検査時にはチェックリストに必要な事項が記入されているかを確認するとチェックリスト内にも記載されていますので、着実に対応を進めていきましょう。
今後はオンライン資格確認の導入だけでなく、医療DXとして現場のデジタル化が進んでいくことが予想されます。
今回のチェックリストに対応して終わりではなく、ガイドラインや最新の脅威動向などを通じて自組織の課題を把握し、自律的にサイバーセキュリティの強化に取り組んでいきましょう。
ALSOKでは情報セキュリティの無料相談も行っておりますので、ぜひご活用ください。

セキュリティ無料相談