薬局向けのサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
2023.10.24.(火)
厚生労働省は10月13日に通知「『薬局におけるサイバーセキュリティ対策チェックリスト』及び『薬局におけるサイバーセキュリティ対策チェックリストマニュアル—薬局・事業者向け—』等について」を発出しました(厚労省サイトはこちら)。
薬局においてもオンライン資格確認等システムや電子処方箋の導入などといった電子化が急速に進み、サイバー攻撃の被害にあう可能性が高まっています。すでに公表されている「医療情報システムの安全管理に関するガイドライン 第6.0版」も合わせて活用し、サイバーセキュリティ対策を強化していくことに期待が集まります。
本年度中(2023年度中)になすべき事項、来年度中(2024年度中)になすべき事項を整理
Gem Medで繰り返し報じているとおり、「ランサムウェアと呼ばれるコンピュータウイルスにより、医療機関等が多大な被害を受けてしまった」事例が散発しています。一昨年秋(2021年秋)には徳島県の病院が、昨秋(2022年秋)には大阪府の大規模急性期病院が被害にあい、電子カルテをはじとする医療データがすべて利用できなくなり(暗号化されてしまうなど)、長期間の診療停止を余儀なくされました。こうした新たなサイバー攻撃を受けた場合、対策が十分になされいなければ「医療機関閉鎖」(いわゆる倒産)にも追い込まれかねない状況も発生します。
こうしたサイバー攻撃に備えるため、厚生労働省は次の3つの取り組みを行うことを決定しました。
(1)「医療情報システムの安全管理に関するガイドライン」を改訂し、その遵守を求める
(2)都道府県による立入検査(医療法第25条第1項・第3項)において「サイバーセキュリティ対策」確認を求める(この6月(2023年6月)からの検査に適用)
(3)医療機関・システムベンダー向けのサイバーセキュリティ対策に向けたサイバーセキュリティ対策の「チェックリスト」を提示する(関連記事はこちら)
平時から医療機関・システムベンダが連携して、自院のセキュリティ対策は十分かを確認する。不十分な場合には、順を追って『まず何から始めればよいか』などを明らかにし、確実に対策を進めてもらう」こととしたものです(この第一歩がチェックリストと言える)。
そうした中で「薬局向けのサイバーチェックリストなどを作成・提示してほしい」との声も大きくなっています。冒頭に述べたように「オンライン資格確認等システムや電子処方箋の導入などといった電子化が急速に進み、サイバー攻撃の被害にあう可能性が高まっている」こと、また「小規模薬局などでは、サイバーセキュリティ対策を進めるに当たり技術的課題が少なくない」ことなどを踏まえた声です。
そこで、厚労省は今般、「薬局向けのサイバーセキュリティ対策チェックリスト」と、そのマニュアルを作成し、公表しました。システムベンダや都道府県と協力し、一歩ずつ、かつできるだけ早急に局内のセキュリティ対策強化を図ることが期待されます。
チェックリストでは、まず「本年度(2023年度)中に実施すべき事項」として、例の項目を掲げました。
▽医療情報システム安全管理責任者の設置
▽サーバ、端末 PC、ネットワーク機器の台帳管理
▽リモートメンテナンス(保守)を利用している機器の有無のベンダへの確認
▽システムベンダへの「製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)」提出要請
▽利用者の属性等に応じた情報区分毎のアクセス利用権限設定
▽退職者や使用していないアカウントといった「不要なアカウント」の削除
▽アクセスログの管理
▽ネットワーク機器に関するセキュリティパッチ(最新ファームウェアや更新プログラム)適用
▽接続元制限の実施
▽インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡体制図作成
早急にこれらの項目を1つ1つチェックし、実施できていなければ「いつまでに実施するか」を検討し、本年度中(2023年度中)に全項目を完了することを目指します。
また、来年度(2024年度)には、上記のほかにも「サーバおよび端末のバックグラウンドで動作している不要なソフトウェア・サービスの停止」を行うことも求められています。
あわせて、チェックリストでは、システムベンダに対して上述の薬局の取り組みを「支援する」ことも項目別に求めています。
また、上述の取り組みについて、例えば「医療情報システム安全管理責任者は誰が担当すればよいのか?」「インシデント発生時における連絡体制図とは具体的にどのようなものか?」などの疑問もわきます。こうした点を明確するための「チェックリストマニュアル」も用意されています。
多くの薬局、とりわけ小規模な個人薬局では、自ら「チェックリストやマニュアルを活用して、サイバーセキュリティ対策を行う」ことは難しいでしょう。システムベンダと協力して、1つ1つ対策を実施していくことが重要です。
現在の医療機関や薬局は「鍵のかかっていない金庫」のような状況であるとの指摘もある点に留意し、経営層は「サイバーセキュリティ対策」の重要性を再認識し、「投資優先度の向上」を図ることも求められます。システムベンダと協議し、まず「自局の状況をチェックする」ことが極めて重要です。
ただし、やはりガイドラインの内容は難しいため、厚労省は「小規模医療機関等向けガイダンス」を準備。薬局も、このガイダンスを活用して、システムベンダや都道府県にも支援をあおぎ、「自局のサイバーセキュリティ対策を強化していく」ことが求められます(ガイドライン6.0版全体はこちら)。
【関連記事】
医療機関のサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省
院内処方情報の格納・共有、電子処方箋の中で行うか?電子カルテ情報交換サービスの中で行うか?―医療等情報利活用ワーキング(3)
サイバーセキュリティ対策は小規模病院ほど不十分、大病院でもBCP策定やリスク低減措置など進まず―医療等情報利活用ワーキング(2)
医療情報ガイドライン第6.0版を概ね了承し5月末に公表、経営層もセキュリティ対策の重要性認識を―医療等情報利活用ワーキング(1)
医療・介護等の情報利活用、「なぜ必要なのか、メリット・リスクは何か」の国民への丁寧な周知が重要—健康・医療・介護情報利活用検討会
医療機関等のサイバーセキュリティ対策、「まず何から手を付ければよいか」を確認できるチェックリストを提示―医療等情報利活用ワーキング
医療情報システム安全管理ガイドライン改訂版の骨子を公表、病院院長等もサイバー攻撃の恐ろしさを十分に認識せよ!
救急医療における患者の診療情報確認、救急医療従事者に特別権限付与し「通常の端末」で確認する仕組みに―医療等情報利活用ワーキング(2)
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)