医療情報システムガイドライン改訂を決定、ランサムウェアなどサイバー攻撃対策強化を―医療等情報利活用ワーキング
2022.4.1.(金)
3月30日に開催された健康・医療・介護情報利活用検討会「医療等情報利活用ワーキンググループ」(以下、ワーキング)において、「医療情報システムの安全管理に関するガイドライン」の改訂内容(ガイドライン第5.2版)が了承されました。
▼ランサムウェア対策▼私物のスマートフォンやパソコンで診療情報を使用しないことの明確化▼外部ネットワークの利活用明確化―などについて見直しが行われています。
●改訂ガイドラインの本編はこちら
●改訂ガイドラインの別冊はこちら
病院のサイバーセキュリティ対策は十分とは言えないとの調査結果も公表
電子カルテやオーダリングシステムなど「医療情報システム」の利活用が多くの医療機関等で進められています。データを蓄積し、それらを有機的に結合・解析することで「医療の質向上」や「業務の効率化」などが進むと期待されます。また「院内」にとどまらず「地域」で診療データを共有する取り組みも多くの地域では進んでおり、現在は「全国単位で診療データを共有する」環境の構築に向けた議論が進められています(関連記事はこちら)。
ただし、診療データは非常に機微性の高い患者の個人情報であり、安易に共有・外部提出することなどは好ましくありません。このため適切に診療データを保存・利活用するための指針として厚生労働省は「医療情報システムの安全管理に関するガイドライン」を策定。医療機関等や医療情報システムメーカーはこれに準拠した取り組みを行うことが求められています。
ところで、昨今「ランサムウェアと呼ばれるコンピュータウイルスによって医療機関等が多大な被害を受けてしまった」「規制改革実施計画(2021年6月)の中で『外来ネットワーク等の利活用可能性』をさらに周知すべき等の指摘がなされた」といった大きな動きが生じ、ガイドラインを急ぎ改訂する必要性が出てきました。
ランサムウェア(Ransom(身代金)+Software(ソフトウェア)の造語)はコンピュータウイルスの1種で、例えば組織(ここでは医療機関)の保有するデータを全て暗号化し「データを戻して欲しければ多額の費用(身代金)を支払え。言うことを聞かなければ機密データをばらまくぞ」などと脅してくる犯罪に使われています。海外はもちろん、我が国でもこのランサムウェアによる被害が急増しており、昨秋(2021年秋)には徳島県の病院がランサムウェア攻撃を受け、患者の電子カルテをはじとする医療データがすべて暗号化され病院で利用できなくなってしまう(病院側でデータを見ることができなくなり、実質的に消失した形)という大きな事件が起きました。当該病院では院内システムが利活用できなくなったことから数日間、「新規患者の受け入れ停止」「救急患者の受け入れ停止」をせざるを得ず、地域医療提供体制にも大きな影響が生じる事態となりました。
かつては「サイバー攻撃により個人情報が流出するなどした場合、被害者1人につき500円程度のお見舞金を支払う」といった「被害相場」がありましたが、ランサムウェアによる被害では「組織が存続できなくなってしまう」ほどの桁違いの大ダメージを受けるケースもあると危機管理の専門家は指摘しています。
今般、改訂案に対するパブリックコメント(国民より3月2日-12日の間に意見が48件寄せられた)や、病院の医療情報システムに関するバックアップデータ・リモートゲートウェイ装置(セキュリティ対策と、サイバー攻撃を受けた場合でも診療継続可能とするためのデータ保存)調査結果も踏まえ、改訂内容を一部修正のうえで決定したものです。
改訂内容は、上述のとおり▼ランサムウェア対策▼私物のスマートフォンやパソコンで診療情報を使用しないことの明確化▼外部ネットワークの利活用明確化―などで、例えばサイバー攻撃を受けた後にシステム復旧を行うにあたっては「侵入継続・被害拡大」を防ぐために▼バックドアを残さない▼無効にされたセキュリティ機能を復旧する▼同じ脆弱性を突かれて侵入されない▼他の脆弱性を突かれない▼不正に作成されたり、盗まれたりした ID・パスワード等を使われないようにする―などの方策をとることを求めています。また、技術的な事項については「別冊」に記載を移すなど「わかりやすさ」にも配慮した見直しが行われています。
なお、診療報酬上、例えばA207【診療録管理体制加算】(入院初日に加算1(年間退院患者2000人に1人以上の常勤診療記録管理者を配置するなど)では100点、加算2では30点を算定)を取得するためには「医療情報システムの安全管理に関するガイドライン」(上述)に準拠した体制を整備することなどが求められており、ガイドラインは「収益上も極めて重要である」ことに留意が必要です。
ところで、病院の医療情報システムに関するデータバックアップ状況を見ると、95.9%で「バックアップデータをとっている」ものの、「サイバー攻撃と自然災害などの同時被災を回避できるようにしている」のは47.5%、「漏洩対策を講じている」のは52.4%にとどまっています。
また病院におけるリモートゲートウェイ状況を見ると、▼VPN装置の設置:66.3%▼適切にアップデートを実施:61.3%▼VPN装置へのアクセス元IPアドレス制限あり:83.6%▼VPN装置へのアクセス記録の定期的な検査実施:41.8%―という状況で、必ずしも「十分なセキュリティ対策がとられている」とは言えない状況です。
この点、日本病院会・全日本病院協会・日本医療法人協会・日本精神科病院協会で組織する「四病院団体協議会」では、後藤茂之厚生労働大臣に宛てて「病院のサイバーセキュリティ対策費用を公費で支援してほしい」との要請を行う方針を固めています(関連記事はこちら)。
【関連記事】
ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング
病院のサイバーセキュリティ対策コスト、500床以上病院では1億3000万円程度となり公的支援が必要―四病協