2022年10月号 医療機関におけるサイバーセキュリティ対策
公認会計士 川中 敏史
大手監査法人を経て2022年から御堂筋監査法人にて勤務。主に医療法人の内部統制指導、監査業務に従事。
保有資格:公認会計士
既に広く知られているとおり、近年は医療機関を対象としたサイバー攻撃が増加しています。中でも顕著なものが暗号化等によってファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭(身代金)を要求する「ランサムウェア」を利用した事例です。
これに伴い、厚生労働省は「ランサムウェア」に代表される攻撃への対策を喫緊の課題と捉え、令和4年3月に「医療情報システムの安全管理に関するガイドライン 第5.2版」を公表しました。同ガイドラインの第5.1版は令和4年1月に公表されたばかりであり、さらに令和4年度中に具体的なセキュリティ対策の記載をより分かりやすく見直す予定です。これら経緯を考えると、その緊急度を伺い知ることができます。
医事会計システムや電子カルテ等の病院情報システムは、病院運営上不可欠な存在となっており、会計監査の観点からは、サイバーセキュリティ対策はITアプリケーションシステムが有効に機能することを支える内部統制(IT全般統制)において必須の評価項目となりますので、サイバー攻撃の事例やセキュリティに関係する厚生労働省や四病院団体協議会の動向等について解説したいと思います。
1.セキュリティ事故の増加
従来は、職員による不正目的の情報持ち出しが多い傾向にありましたが、近年はシステムの脆弱性を利用した外部からのサイバー攻撃被害が急速に増えています。
2.近年のサイバー攻撃事例
下表は、各医療機関から公表されている内容や報道された内容をもとに作成しています。
3.サイバー攻撃による影響
サイバー攻撃を受けた場合には、主に以下の影響が考えられます。
①患者のプライバシー侵害
電子カルテ情報にアクセスされることで、患者の個人情報が流出する可能性が極めて高くなります。
②診療業務の停止
電子カルテの情報を閲覧できなくなること等により、通常診療がストップします。
場合によっては、他の近隣医療機関への協力要請が必要となります。
③事後対応の負担
データ復旧や原因究明、場合によってはシステムネットワーク全体の見直し等により膨大な時間と費用が必要になる可能性があります。
④患者や社会からの信用失墜
最悪の場合には、経営環境悪化により病院存続に危険が及ぶことも想定されます。
4.個人情報保護法との関係
令和4年4月に施行された改正個人情報保護法では、1件でも患者情報が漏えい、滅失、毀損等した場合もしくはこれらが発生したおそれがある場合には、国の個人情報保護委員会への報告(概ね3~5日以内)と本人通知が義務づけられます。これには、ランサムウェア被害のように患者情報が閲覧できなくなったケースも対象となります。
なお、本人通知が困難な場合は、代替措置として「公表」が求められます。
5.サイバーセキュリティ対策
代表的なセキュリティ対策は以下のとおりになります。
①組織的対策
情報システム部門の設置、サイバー攻撃等のインシデント発生に対する事業継続計画策定、情報のキャッチアップ、予算確保 等
②人的対策
情報システム部門への十分かつ適切なリソース配分、職員の教育訓練 等
③技術的対策
ウィルス対策、ソフトウェアの適時アップデート(VPN 装置の脆弱性対策等)、定期的なバックアップやログの確認と分析 等
④物理的対策
入退館(室)管理、パスワードの定期的な更新や複雑性の確保、専用USBによる制限 等
⑤その他
セキュリティ知見を有するシステムベンダーの選定及び責任区分の明確化
※システム導入とその後のセキュリティ指導は必ずしもセットでは無いため、不明瞭な場合は契約内容を再確認する必要があります。
6.セキュリティ対策の課題
令和4年1月31日~2月28日にかけて実施された四病院団体協議会によるセキュリティアンケートに関する調査結果では、9割の医療機関がサイバー攻撃に脅威を感じると回答していますが、NISCや厚労省が指摘したVPN機器の脆弱性への対応を行っていないと回答した病院が3割程度存在しており、その半数以上が理由を「情報をキャッチできていなかったため」「予算がなかったため」としています。
このように、危機意識を持ちながらも予算不足、人材不足、情報不足等により、厚生労働省が求める十分な体制を構築できていない医療機関が多数存在しているのが現状です。
7.四病院団体協議会の動向
四病院団体協議会はセキュリティアンケートに関する調査結果を踏まえて、令和4年3月31日付けで厚生労働大臣に対し「病院のサイバーセキュリティ対策への公的補助金の支給について」として緊急提言を提出しています。
当該提言においては、サイバーセキュリティ対策の重要性を理解しながらも、厳しい経営環境のため予算に制約がある医療機関の現状を訴え、医療分野でのICT利用は国が推進してきた施策であることから、サイバーセキュリティ対策に関しても国が費用面での措置を講ずる必要性を訴えています。当該緊急提言において試算された必要となる公的補助金額は下表のとおりです。
8.公表資料等のご案内
<厚生労働省>
- 「医療情報システムの安全管理に関するガイドライン 第5.2版」(令和4年3月)
- 「医療情報システムの安全管理に関するガイドライン 第5.2版」に関するQ&A(令和4年4月)
- 「医療機関のサイバーセキュリティ対策チェックリスト」(令和4年5月)
- 「医療情報システム等の障害発生時の対応フローチャート」(令和4年5月)
※上記以外にも、情報セキュリティの教育研修のための研修動画が(経営層向け)、(システム管理者・セキュリティ管理者向け)、(医療従事者向け)の各バージョンで公開されています。
<徳島県つるぎ町立半田病院>
- 「コンピュータウイルス感染事案 有識者会議調査報告書」(令和4年6月)
※全国の病院や事業所のセキュリティ強化に貢献するという目的から、インシデント発生に至った原因や構造的な問題点等を有識者によって詳細に分析した内容が公表されています。
9.まとめ
既に述べたように、医療機関独自で必要十分な対策を構築するには構造的な限界がある状況が浮き彫りになってきています。
医療が社会において重要なインフラである以上、今後は国も巻き込みながら改革を進めていく必要性は高いと考えられますが、まずは各医療機関における現状把握が必須と言えます。
セキュリティ対策を見直す際には、厚生労働省が公表する「医療機関のサイバーセキュリティ対策チェックリスト」やつるぎ町立半田病院の「有識者会議調査報告書」を利用すること及び外部機関による評価を受けることが有用と考えます。