Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages
GemMed塾 病院ダッシュボードχ 病床機能報告

医療機関等のサイバーセキュリティ対策、「まず何から手を付ければよいか」を確認できるチェックリストを提示―医療等情報利活用ワーキング

2023.3.24.(金)

医療機関のサイバーセキュリティ対策強化が喫緊の課題となっており、医療機関管理者(院長)にも「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点をしっかり理解してもらうことが必要である—。

セキュリティ対策においては「何も信頼しない」姿勢で臨むことが極めて重要であり、また医療機関とシステムベンダとの間で「どこまでが、どちらの責任であるのか」を明確化しておくことも求められる—。

3月23日に開催された健康・医療・介護情報利活用検討会の「医療等情報利活用ワーキンググループ」(以下、ワーキング)において、こうした内容を盛り込んだ「医療情報システムの安全管理に関するガイドライン案」(以下、本稿では単にガイドライン案と呼ぶ)が了承されました。

今後、広く国民から意見を募り(パブリックコメント募集)、その内容も踏まえて最終調整を行い、5月中旬を目途にガイドライン6.0版が正式決定・稼働となります。

またワーキングでは「ガイドライン6.0版の整備にとどまらず、実際に医療機関等がサイバーセキュリティ対策に乗り出せるような仕掛けが必要である」との考えの下、まず第一歩として「都道府県等による立入検査においてサイバーセキュリティ対策実施の有無をチェックする」「医療機関等やシステムベンダ向けにサイバーセキュリティ対策に関するチェックリストを事前に示し、何から手を付ければよいかを明らかにする」ことを固めました。本年(2023年)6月以降の立入検査から「サイバーセキュリティ対策の確認」が行われます。

3月23日に開催された「第16回 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ」

医療情報ガイドラインの第6.0版、パブコメ等を経て「5月中旬」目途の決定の見込み

Gem Medでも報じるとおり「ランサムウェアと呼ばれるコンピュータウイルスによって医療機関等が多大な被害を受けてしまった」事例が散発。一昨年秋(2021年秋)には徳島県の病院が、昨秋(2022年秋)には大阪府の大規模急性期病院が被害にあい、電子カルテをはじとする医療データがすべて利用できなくなり(暗号化など)、長期間の診療停止が余儀なくされました。場合によっては「医療機関閉鎖」(いわゆる倒産)にも追い込まれかねない状況も発生します。

事態の深刻さを踏跡まえ、厚生労働省も様々な対策を検討・実施。たとえば長期間の診療停止が生じないための「短期的な対策」(平時からの予防対策、インシデント発生後の初動対応、日常診療を取り戻すための復旧対応)を稼働させているほか、医療機関等やシステムベンダが診療データを保存・利活用するに当たっての指針となる「ガイドライン」の見直しも検討しています。

ワーキングでは、ガイドライン見直しに向け、第6.0版への改訂内容ガイドライン第6.0版案の「骨子」を固めており、骨子についてはパブリックコメント募集も行われました。

3月23日のワーキングでは、パブリックコメント結果も踏まえ「ガイドライン第6.0版案」を固めました。後述するように、近々にパブリックコメント募集にかけられ、その結果を踏まえて最終調整を行ったうえで本年(2023年)5月中旬を目途に「ガイドライン第6.0版」が決定・稼働することになります。

第6.0版への見直しでは、▼システム担当者のみならず、医療機関等の管理者(院長等)にもサイバーセキュリティ対策の重要性を強く認識してもらう▼すべての医療機関等で必要に応じたサイバーセキュリティ対策を講じてもらう▼外部委託、外部サービスの利用に関し、責任分解を明確化する(どこまでがベンダーの責任となり、どこからが医療機関等の責任となるのか)▼情報セキュリティに関し、「何も信頼しない」とのゼロトラストを前提とする—などの視点が重視されています。

医療機関の経営層は「ICTの専門家ではない、ICTの知識が少ない」ケースがほとんどです。このため、ともすれば「私はまったく分からない。セキュリティ関係は担当者にすべて任せている」となりがちです。しかし、昨今の状況を踏まえて▼「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点を理解し、サイバーセキュリティ確保に努める▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化する▼自院にどのような情報機器が保有され、どのような状況なのか(セキュリティ対策は十分に確保されているのかなど)を医療機関管理者も把握する—ことを強く求めることになります。

このため、ガイドライン第6.0版は、「ICT分野に強くない院長等にも、伝わりやすい内容とする」ことなどを目指し、(1)基本部分を示す「概説編」(2)院長等管理者向けの「経営管理編(3))医療情報システムの安全管理(企画管理、システム運営)責任者向けの「企画管理編」(4)医療情報システムの実装・運用の実務担当者向けの「システム運用編」—の4編へ構成を見直し。(1)-(4)それぞれの対象者に伝わりやすい内容・用語での記載となっています。

また、小規模医療機関等ではシステム担当者などが配置されておらず「膨大な量のガイドラインを読み込むことは難しい。最低限何をすればよいのかをまず知りたい」との要望もあることから、「Q&A」のほか「小規模医療機関向けの特集編」「サイバーセキュリティ対策の特集編」も準備されています。

こうした「4編構成への細分化」「用語等の見直し」「特集やQ&Aの切り出し」などを丁寧に行う必要があったため、ガイドライン第6.0版に向けたスケジュールはやや後ろ倒しになっています。スケジュールありきで不十分なものとするよりも、「実際に医療現場に伝わる内容」への見直しが重要なためです。

3月23日のワーキングでは、こうしたガイドライン第6.0版の「案」を決定。近くパブリックコメント募集が開始されます(3月下旬から4月下旬予定)。その後、パブリックコメント結果も踏まえて、ワーキングで最終調整を行ったうえで「イドライン第6.0版」が5月中旬頃に正式決定され、稼働する見込みです。

【パブリックコメントに付される4編】
(1)「概説編」案はこちら
(2)「経営管理編」案はこちら
(3))「企画管理編」案はこちら
(4)「システム運用編」案はこちら

【その他】(主なもの)
▽「Q&A」案はこちら
▽「小規模医療機関向け特集」案はこちら
▽「サイバーセキュリティ対策特集」案はこちら



なお、今後のガイドライン第6.0版の運用、医療機関等でのサイバーセキュリティ対策強化に向け「分かりやすい資材(動画、パンフレットなど)を準備してほしい」(長島公之構成員:日本医師会常任理事)、「オンライン資格確認等システム等において、参加医療機関がガイドラインに則った対策をしていることが重要であり、現場への周知を十分に行ってほしい」(大山永昭構成員:東京工業大学科学技術創成研究院社会情報流通基盤研究センター特命教授)といった要望が出ています。今後、厚労省で準備・実施していくことになります。

医療機関に「セキュリティ対策として何から手を付ければよいか」を明確化したリスト提示

ところで、サイバーセキュリティ対策は「ガイドラインを見直して終了」ではありません。実際には、医療機関等がガイドラインに沿った対策が行うことが重要です。

しかし、医療機関等の規模・体制はさまざまで、小規模医療機関等の中には「どこから手を付ければよいのか分からない」ところも少なくありません。

ワーキングではガイドライン見直しと合わせて、「医療機関等に『何から手を付ければよいか』を分かりやすく示し、実行を促すような仕掛けが必要である」との議論が行われ(関連記事はこちら)、▼都道府県等によるり立入検査においてサイバーセキュリティ対策実施の有無をチェックする▼医療機関等やシステムベンダ向けにサイバーセキュリティ対策に関するチェックリストを事前に示し、何から手を付ければよいかを明らかにする—ことを決定しました。

医療法第25条第1項・第3項に基づき、都道府県や国は全国の医療機関について「診療録保存など病院管理が適切に行われているか」「医師や看護師などの人員が適正に配置されているか」「診療室や水道などは適切・清潔に整備されているか」などを定期的に検査しています(関連記事はこちらこちら)。今般、この立入検査項目の中に「サイバーセキュリティ対策は十分に行われているか」を盛り込む省令改正(医療法施行規則改正)が行われ、この6月(2023年)からの検査に適用されることになりました。

もっとも立入検査の場で、突然「貴院は対策が不十分ですね。改善してください」と指摘するだけでは、全国の医療機関等で「サイバーセキュリティ対策が十分に進展する」とは思えません。上述のように「何から手をつければよいのか分からない」医療機関等も少なくないためです。

そこで厚労省は「サイバーセキュリティ対策に関するチェックリスト」を作成。医療機関等では、このチェックリストに沿って「まず医療情報システム安全管理責任者の配置が必要であるのだな」→「次いで医療機関で用いる端末・ネットワーク機器・記録媒体・サーバーについてすべて把握する必要があるのだな」→「そのうえで、システムの脆弱性をベンダーに確認し、情報共有してもらう必要があるのだな」→「さらにBCP(事業継続計画)の中に、サイバー攻撃からの復旧なども盛り込む必要があるのだな」という具合に、手順を踏んでサイバーセキュリティ対策を進めることが求められます。

▼医療機関等がチェックリストをもとに、自院のサイバーセキュリティ対策の状況を把握し、必要な対応を行う→▼都道府県等が立入検査の際などに「チェックリストの状況」を確認する→▼対策の中で不十分なもの(チェックリストの中でチェックがなされていない項目)がある場合には改善を求める—という流れで、全国の医療機関等におけるサイバーセキュリティ対策の水準向上を目指すことになりますが、具体的な立入検査の実施方法などは今後、厚労省と都道府県等で調整が行われます。

医療機関等におけるサイバーセキュリティチェックリスト案(今後、修正が行われる)(医療等情報利活用ワーキング1 230323)



ワーキングでは、このチェックリストを用いた「サイバーセキュリティ対策向上」促進策を歓迎。山本隆一構成員(医療情報システム開発センター理事長)からの「表面的なチェックにとどまってはいけない。各項目が連環し、すべてを実施することでセキュリティ対策となる(一部分でも抜けていれば、そこから攻撃を受けてしまう)点を意識した内容に改善すべき」との、長島構成員から「セキュリティ対策には財源が必要となる。国から支援を行ってほしい」との要望が出ています。

厚労省は山本構成員の意見も踏まえて「チェックリスト」を修正し、近々に公表。医療機関等では、チェックリストを踏まえて「まず自院の状況確認」を早急に行い、必要な対策をとることが重要です。「多くの医療機関は『鍵をかけていない金庫』のような状況と言える。金庫が不届きものに狙われていると分かれば、『鍵をかけねば』と誰もが思うであろう。そうした意識をもってサイバーセキュリティ対策をとる必要がある」と指摘する識者も少なくありません。

JAHISガイド等に沿ってセキュリティ対策を点検している病院は2割に満たず

また3月23日のワーキングには、本年(2023年)1-3月に行われた「病院における医療情報システムのサイバーセキュリティ対策に係る調査」結果の速報値も報告されました。

約6割の病院(4811施設)が回答しており、例えば▼73%で医療情報システム安全管理責任者を設置している▼78%でサイバー攻撃に係る注意喚起や脆弱性情報を日頃から収集・確認している▼電子カルテ導入病院の96%でバックアップデータを作成している—ことなど確認されました。

その一方で、▼医療情報システム開発センター(JAHIS)の作成する医療情報セキュリティガイド(MDS/SDS)を用いた点検実施は19%にとどまっている▼サイバー攻撃も踏まえたBCP作成は23%にとどまっている(うち訓練実施は34%にとどまる)▼関係事業者とのネットワーク接続点を全て管理下におき、脆弱性対策を実施している病院は44%にとどまっている▼「インシデントの早期検知」のために、各種ログの確認・通信の監視などを行っている病院は35%にとどまっている—など、心もとない状況も明らかになっています。

病院においてサイバーセキュリティ対策がとりわけ不十分な点も明らかになった(1)(医療等情報利活用ワーキング2 230323)

病院においてサイバーセキュリティ対策がとりわけ不十分な点も明らかになった(2)(医療等情報利活用ワーキング3 230323)



こうした調査結果から「対策の強化が急がれる点」の一部が明らかになったと言え、厚労省は上述した「ガイドライン第6.0版」案の中に「必要な対策」「留意すべき事項」として溶け込ませています。

調査は昨年にも行われており、厚労省医政局の田中彰子参事官(特定医薬品開発支援・医療情報担当)(医政局特定医薬品開発支援・医療情報担当参事官室長併任)は「前年調査との比較なども含めた詳細な分析・解析を行いたい」との考えを示しています。今後も、上述したチェックリストの効果、ガイドライン第6.0版の活用状況なども含めて調査を継続し、「サイバーセキュリティ対策の水準向上」を目指すことになります。



病院ダッシュボードχ 病床機能報告MW_GHC_logo

【関連記事】

医療情報システム安全管理ガイドライン改訂版の骨子を公表、病院院長等もサイバー攻撃の恐ろしさを十分に認識せよ!
救急医療における患者の診療情報確認、救急医療従事者に特別権限付与し「通常の端末」で確認する仕組みに―医療等情報利活用ワーキング(2)
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)

全国病院等での診療情報共有、共有情報拡大に合わせ「患者同意」取得画面見直し—健康・医療・介護情報利活用検討会
オンライン資格確認等システム、来年(2023年)4月からの原則義務化に向け「一刻も早い対応」が必須—厚労省・三師会
訪問診療や訪問看護等、初回訪問時に「過去の診療情報共有」等の包括同意を取得する仕組みに—社保審・医療保険部会(2)
オンライン資格確認等システム導入の経費補助を充実、医療機関等は「早期の申し込み、システム改修」に努めよ—厚労省
オンライン資格確認等システムを2023年度から保険医療機関等に義務化、導入促進に向け「初診料の新加算」創設—中医協総会(1)
オンライン資格確認等システム、2023年4月から紙レセ医療機関等以外は「原則、導入義務」へ—中医協総会(2)

レセ・電カル情報の全国医療機関での共有、「誰にどのようなメリットがあるか」明確化せよ―社保審・医療部会(2)

全国の医療機関で診療情報(レセプト・電子カルテ)を共有する仕組み、社保審・医療保険部会でも細部了承
2023年度以降、保険医療機関等で「オンライン資格確認等システムの導入」を義務化すべきか—社保審・医療保険部会(1)
電子カルテ情報の全国医療機関での共有、標準規格準拠電子カルテ普及等をあわせて推進―健康・医療・介護情報利活用検討会(2)
医療機関での患者レセプト情報共有、「手術」は別に個別同意を共有要件に―健康・医療・介護情報利活用検討会(1)

電子カルテ情報の共有、「国民・患者サイドのメリットは何か」を明確に―医療情報ネットワーク基盤WG
中小規模医療機関の標準準拠電子カルテ導入、基金や診療報酬活用して支援へ―医療情報ネットワーク基盤WG
電子カルテデータの共有、「キーとなる情報の明確化」が何よりも重要―社保審・医療部会(2)
ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング
救急医療管理加算、定量基準導入求める支払側と、さらなる研究継続求める診療側とで意見割れる―中医協総会(3)

電子カルテの標準化、まず「電子カルテの将来像」固め、それを医療情報化支援基金の補助要件に落とし込む―医療情報連携基盤検討会
2019年度予算案を閣議決定、医師働き方改革・地域医療構想・電子カルテ標準化などの経費を計上
異なるベンダー間の電子カルテデータ連結システムなどの導入経費を補助―厚労省・財務省

全国の病院で患者情報確認できる仕組み、電子カルテ標準化など「データヘルス改革」を強力に推進―健康・医療・介護情報利活用検討会
医療機関等で患者の薬剤・診療情報を確認できる仕組み、電子カルテ標準化に向けた方針を固める―健康・医療・介護情報利活用検討会
電子カルテの標準化、全国の医療機関で患者情報を確認可能とする仕組みの議論続く―健康・医療・介護情報利活用検討会
「健康・医療・介護情報共有方針」固まる、全国の医療機関等で薬剤・手術等の情報共有可能に―健康・医療・介護情報利活用検討会
「レセ情報とレセ以外情報」をセットで格納・共有し、効果的かつ効率的な医療提供の実現を―健康・医療・介護情報利活用検討会
全国の医療機関間で、患者の「薬剤情報」「手術情報」など共有できれば、救急はじめ診療現場で極めて有用―医療等情報利活用ワーキング
電子カルテ標準化や国民への健康情報提供(PHR)など一体的に議論し、夏までに工程表まとめる―健康・医療・介護情報利活用検討会