医療機関のサイバーセキュリティ対策強化方針を決定、セキュリティ対策の全体的底上げに向けGLを再改訂―医療等情報利活用ワーキング
2022.9.7.(水)
医療機関のサイバーセキュリティ対策を強化するために、(1)平時の予防対応(2)初動対応(3)復旧対応—の3つのフェーズに合わせた取り組みを、医療機関はもちろん、国や都道府県も協力して進めていく—。
9月5日に開催された健康・医療・介護情報利活用検討会の「医療等情報利活用ワーキンググループ」(以下、ワーキング)において、このような「今後の医療機関におけるサイバーセキュリティ対策の基本方針」が決定されました。今後、基本方針に沿って医療機関等はもちろん、関係者の取り組みが充実・強化されていくことに期待が集まります。
また来年度(2023年度)からは保険医療機関にオンライン資格確認等システムの導入が原則義務化されることなどを見据え「医療情報システムの安全管理に関するガイドライン」を年度内(2023年3月まで)に再改訂する考えが厚生労働省から報告されています。オンライン資格確認等システムの導入義務化で、「外部ネットワークへの接続」に不慣れな医療機関が外部ネットワークへの接続を行うこととなり、「セキュリティ対策の全体的な底上げ」を目指すことになります。
医療分野のセキュリティ対策水準アップに向け、予防・初動対応・早期復旧の方針固める
昨今、「ランサムウェアと呼ばれるコンピュータウイルスによって医療機関等が多大な被害を受けてしまった」などの報告があります。
ランサムウェア(Ransom(身代金)+Software(ソフトウェア)の造語)はコンピュータウイルスの1種で、例えば医療機関の保有する診療データ等を全て暗号化し「データを元に戻して欲しければ多額の費用(身代金)を支払え。言うことを聞かなければ機密データを公開するぞ」などと脅す犯罪に使われています。昨秋(2021年秋)には徳島県の病院がランサムウェア攻撃を受け、患者の電子カルテをはじとする医療データがすべて暗号化され病院で利用できなくなってしまう(病院側でデータを見ることができなくなり、実質的に消失した形)という大きな事件が起きました。当該病院では院内システムが利活用できなくなったことから数日間、「新規患者の受け入れ停止」「救急患者の受け入れ停止」をせざるを得ず、地域医療提供体制にも大きな影響が生じる事態となりました。
こうした事態を重く見て、厚生労働省とワーキングでは、「サイバーセキュリティ対策の強化」などを盛り込んだ「医療情報システムの安全管理に関するガイドライン」改訂(5.2版)を実施(厚労省のサイトはこちら、関連記事はこちら)。あわせて、5月27日の前回ワーキングでは「▼医療機関▼国や都道府県▼ベンダー—などが連携・協力してサイバーセキュリティ対策を進めていくべき」との議論が行われました(関連記事はこちら)。
さらに今般、前回議論を踏まえた「今後の医療機関におけるサイバーセキュリティ対策の基本方針」案が厚生労働省医政局の田中彰子参事官(特定医薬品開発支援・医療情報担当)(医政局特定医薬品開発支援・医療情報担当参事官室長併任)から提案されました。
前回ワーキングでも示されたとおり、▼現下の多様なサイバー攻撃に対し、個別医療機関による自主的な取り組みだけで対応することは難しい▼まずは「長期間の診療停止が生じない」用に対応する—との視点に立ち、「短期的な対策」として(1)平時からの予防対策(2)インシデント発生後の初動対応(3)日常診療を取り戻すための復旧対応—の3本柱を立て、それぞれにおける個別施策を打ち出すとともに、「中長期的にバックアップデータの暗号化・秘匿化、保健医療分野におけるSOCの構築を検討していく」考えが示されました。
短期的な対策の大枠は次のように整理されています(詳細は下図参照)。
(1)平時からの予防対策
▽医療機関向けサイバーセキュリティ対策研修の充実(A207【診療録管理体制加算】(適切に診療記録の管理を行っている医療機関において、入院患者について入院初日に100点または30点の算定を認める加算)で400床以上病院に求められる「研修」などの充実・強化を図る)
▽脆弱性が指摘されている機器・ソフトウェアの確実なアップデートの実施(医療法第25条第1項の規定に基づく立入検査で確認する)
▽医療分野におけるサイバーセキュリティに関する情報共有体制(ISAC)の構築(年内(2022年内)に他分野ISAC関係者の協力を得つつ、医療関係者数名のコアメンバーにより検討グループを立ち上げる)
▽検知機能の強化、G-MISを用いた医療機関への定期調査の実施(医療機関に対するサイバーセキュリティ対策の実態調査を本年度(2022年度)中に実施)
(2)インシデント発生後の初動対応
▽インシデント発生時の駆けつけ機能の確保
▼200床以下の医療機関:「サイバーセキュリティお助け隊」の活用促進
▼200床以上の医療機関:「医療情報セキュリティ研修及びサイバーセキュリティインシデント発生時初動対応支援・調査事業一式」において、サイバーセキュリティインシデントが発生した医療機関の初動対応支援を行う
▽行政機関等への報告の徹底
(3)日常診療を取り戻すための復旧対応
▽バックアップの作成・管理の徹底
▽緊急対応手順の作成と訓練の実施
また、「中長期的な対策」としては、例えば次のような事項が浮上しています。
▽バックアップデータの暗号化・秘匿化に向けた検討を進める
▽保健医療分野におけるSOC(Security Operation Center)の構築の検討を進める(多くの費用がかかるため、費用対効果も勘案して検討していく)
前回ワーキングでの議論を踏まえた内容であり、構成員から異論・反論は出ていませんが、一部注文もついています。
例えば長島公之構成員(日本医師会常任理事)は「医療機関におけるサイバーセキュリティ対策実施において知識・人材・財源が不足している。財源について相応の補助を行う必要がある」と注文。これに対し田中参事官は「医療情報システムの安全管理に関するガイドラインで求めているセキュリティ対策の水準と、医療現場での対策水準の差がどの程度あるのか実態調査を行い、それに基づいてどのような補助・支援が必要になるのかを考えていくことになる。まず医療現場での対策水準に関する実態調査を本年度(2022年度)に行う」との考えを示しました。また、A207【診療録管理体制加算】では、400床以上病院に対して「毎年7月に、医療情報システムのバックアップ体制等(バックアップ対象のシステム、バックアップの頻度、保管方式)を地方厚生(支)局に届け出る」義務を課しており、この届け出状況からも「400床以上病院におけるセキュリティ対策」の一端を把握することが可能でしょう。
また、山本隆一構成員(医療情報システム開発センター理事長)らは「対策全体に関するロードマップを示してほしい」とも要望。あわせて山本構成員は「システム管理責任者の確保なども重要であるが、多くの事故は『スタッフがUSBメモリを使用してしまった』『いわゆる野良WiFiを使用してしまった』といった一般スタッフに起因している。ICT知識の乏しい一般スタッフ向けの研修などが重要であり、早期に動いてほしい」と要望しています。上記(1)の「底上げ」を早急に進めよとの要望と言えそうです。
オンライン資格確認等義務化など見据え、2022年度中に医療情報システムGL改訂
9月5日のワーキングでは、「医療情報システムの安全管理に関するガイドライン」について更なる改訂を行い、本年度中(2023年3月まで)に「第6.0版」を公表することが厚労省から報告されました。
「医療情報システムの安全管理に関するガイドライン」は、適切に診療データ(極めて機微性の高い患者の個人情報)を保存・利活用するための指針です。上述したサイバー攻撃の多様化などを踏まえ、今春(2022年3月)に「サイバーセキュリティ対策の強化」などを盛り込んだ「第5.2版」への改訂が行われました(関連記事はこちら)。
さらに、第5.2版への改訂論議の中で「クラウドサービス利用への対応」「さらに多様化していくサイバー攻撃への対策強化」「新技術(例えばPHSに代わるローカル5Gなど)への対応」を踏まえる必要があるとされ、次の4つの論点・視点を柱とする検討を進め、本年度中(2023年3月まで)に「第6.0版」への改訂を行うことが決まりました。
来年(2023年)4月からは、保険医療機関において「オンライン資格確認等システムの導入」が原則義務化されます(関連記事はこちらとこちら)。このため、これまでに外部ネットワークに接続していない医療機関(オンライン請求を行っていない)が外部接続を行う(オンライン資格確認等システムにアクセスなど)ことから、セキュリティ対策の「全体的な底上げ」が極めて重要になり、こうした視点も非常に重要となるためです。
改訂に向けた4つの論点・視点
▽外部委託、外部サービスの利用に関する整理(院内だけで完結するシステムとしている医療機関、院内+クラウド併用医療機関、クラウドのみ医療機関などの類型別の対応、責任所在の整理など)
▽情報セキュリティに関する考え方の整理(ゼロトラストネットワーク型思考(「何も信頼 しない」を前提に対策を講じる、「閉域ネットワークであれば安全」などの境界防御前提には立たない)、災害・サイバー攻撃・システム障害等の非常時に対する対応や対策、本人確認を要する場面での運用(eKYCの活用)など)
▽新技術、制度・規格の変更への対応(ローカル5Gの利用可能性なども含めて)
▽全体構成の見直し(経営管理編、運用管理編、管理実装編の3編構成を想定し、分かりやすい内容を心がける)
今年度中(2023年3月まで)の改訂を目指し、「11月には第6.0版案の公表」「12月にはパブリックコメントの募集」が行われる予定です。
この点、長島構成員や吉川久美子構成員(日本看護協会常任理事)らから「オンライン資格確認等システムの原則義務化で、小規模な医療機関(例えば訪問看護ステーションなど)も外部ネットワークへの接続を行うことになるが、ICTに詳しい人材の確保が困難である。支援を十分に行ってほしい」との要望が出ています。
【関連記事】
医療機関のサイバーセキュリティ強化に向け、人材育成やデータバックアップ、専門家の支援など充実―医療等情報利活用ワーキング
医療情報システムガイドライン改訂を決定、ランサムウェアなどサイバー攻撃対策強化を―医療等情報利活用ワーキング
ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング
病院のサイバーセキュリティ対策コスト、500床以上病院では1億3000万円程度となり公的支援が必要―四病協
全国の医療機関で診療情報(レセプト・電子カルテ)を共有する仕組み、社保審・医療保険部会でも細部了承
電子カルテ情報の全国医療機関での共有、標準規格準拠電子カルテ普及等をあわせて推進―健康・医療・介護情報利活用検討会(2)
医療機関での患者レセプト情報共有、「手術」は別に個別同意を共有要件に―健康・医療・介護情報利活用検討会(1)
電子カルテ情報の共有、「国民・患者サイドのメリットは何か」を明確に―医療情報ネットワーク基盤WG
中小規模医療機関の標準準拠電子カルテ導入、基金や診療報酬活用して支援へ―医療情報ネットワーク基盤WG
電子カルテデータの共有、「キーとなる情報の明確化」が何よりも重要―社保審・医療部会(2)
ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング
救急医療管理加算、定量基準導入求める支払側と、さらなる研究継続求める診療側とで意見割れる―中医協総会(3)
電子カルテの標準化、まず「電子カルテの将来像」固め、それを医療情報化支援基金の補助要件に落とし込む―医療情報連携基盤検討会
2019年度予算案を閣議決定、医師働き方改革・地域医療構想・電子カルテ標準化などの経費を計上
異なるベンダー間の電子カルテデータ連結システムなどの導入経費を補助―厚労省・財務省
全国の病院で患者情報確認できる仕組み、電子カルテ標準化など「データヘルス改革」を強力に推進―健康・医療・介護情報利活用検討会
医療機関等で患者の薬剤・診療情報を確認できる仕組み、電子カルテ標準化に向けた方針を固める―健康・医療・介護情報利活用検討会
電子カルテの標準化、全国の医療機関で患者情報を確認可能とする仕組みの議論続く―健康・医療・介護情報利活用検討会
「健康・医療・介護情報共有方針」固まる、全国の医療機関等で薬剤・手術等の情報共有可能に―健康・医療・介護情報利活用検討会
「レセ情報とレセ以外情報」をセットで格納・共有し、効果的かつ効率的な医療提供の実現を―健康・医療・介護情報利活用検討会
全国の医療機関間で、患者の「薬剤情報」「手術情報」など共有できれば、救急はじめ診療現場で極めて有用―医療等情報利活用ワーキング
電子カルテ標準化や国民への健康情報提供(PHR)など一体的に議論し、夏までに工程表まとめる―健康・医療・介護情報利活用検討会
本年(2022年)10月からの【医療情報・システム基盤整備体制充実加算】の詳細提示、初診時の「標準的な問診票」も示す—厚労省
オンライン資格確認等システム、来年(2023年)4月からの原則義務化に向け「一刻も早い対応」が必須—厚労省・三師会
本日(2022年8月24日)18時半から、オンライン資格確認等システムのWEB説明会—厚労省
訪問診療や訪問看護等、初回訪問時に「過去の診療情報共有」等の包括同意を取得する仕組みに—社保審・医療保険部会(2)
オンライン資格確認等システム導入の経費補助を充実、医療機関等は「早期の申し込み、システム改修」に努めよ—厚労省
オンライン資格確認等システムを2023年度から保険医療機関等に義務化、導入促進に向け「初診料の新加算」創設—中医協総会(1)
オンライン資格確認等システム、2023年4月から紙レセ医療機関等以外は「原則、導入義務」へ—中医協総会(2)