Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages
無償キャンペーン 外来機能報告支援サービス

ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング

2021.12.21.(火)

昨今「ランサムウェア」攻撃などにより、従前のコンピュータウイルスによる個人情報流出などとは比べ物にならないる甚大な被害が生じており、病院も例外ではない。稼働不能になり「組織が存続できなくなる」事態すらある点を認識する必要がある―。

こうした事態を重くみて「医療情報システムの安全管理に関するガイドライン」について、今年(2021年)1月に改訂を行ったばかりであるが、来年度(2022年度)中に再改訂を行う―。

12月17日に開催された健康・医療・介護情報利活用検討会「医療等情報利活用ワーキンググループ」(以下、ワーキング)において、こういった議論が行われました。今年度(2021年度)にガイドライン改訂が行われる見込みで、専門家は「ランサムウェアによって院内データが消失する場合に備え、バックアップデータの作成・適切な保存・保管を行う」ことなどを強く推奨しています。

医療情報システムの安定管理GLを見直す(医療等情報利活用WG1 211217)

医療情報システムの安全管理ガイドラインを今年度(2021年度)中に改訂

電子カルテやオーダリングシステムなど「医療情報システム」の利活用が多くの医療機関等で進められています。データを蓄積し、それらを有機的に結合・解析することで「医療の質向上」や「業務の効率化」などが進むと期待されます。また「院内」にとどまらず「地域」で診療データを共有する取り組みも多くの地域では進んでおり、現在は「全国単位で診療データを共有する」環境の構築に向けた議論が進められています(関連記事はこちら)。

ただし、診療データは非常に機微性の高い患者の個人情報であり、安易に共有・外部提出することなどは好ましくありません。このため適切に診療データを保存・利活用するための指針として厚生労働省は「医療情報システムの安全管理に関するガイドライン」を策定しており、医療機関等や医療情報システムメーカーはこれに準拠した取り組みを行うことが求められています。

このガイドラインは今年(2021年)1月に▼クラウドサービスへの対応▼認証・パスワードの対応強化▼サイバー攻撃による対応▼外部保存受託事業者の選定基準対応―といった「安全確保策を強化する」視点で改訂されました(第5.1版)。

しかし、そこから1年も経たないうちに、例えば「ランサムウェアと呼ばれるコンピュータウイルスによって医療機関等が多大な被害を受けてしまった」「規制改革実施計画(2021年6月)の中で『外来ネットワーク等の利活用可能性』をさらに周知すべき等の指摘がなされた」といった大きな動きが生じ、「再度の改訂が必要」な状況となっています。

ランサムウェア(Ransom(身代金)+Software(ソフトウェア)の造語)はコンピュータウイルスの1種で、例えば組織(ここでは医療機関)の保有するデータを盗み出すなどし「データを返して欲しければ多額の費用(身代金)を支払え。言うことを聞かなければ機密データをばらまくぞ。さらにデータを使えなくしてやる」などと脅してくる犯罪に使われています。海外はもちろん、我が国でもこのランサムウェアによる被害が急増しており、今秋(2021年秋)には徳島県の病院がランサムウェア攻撃を受け、患者の電子カルテをはじとする医療データがすべて暗号化され病院で利用できなくなってしまう(病院側でデータを見ることができなくなり、実質的に消失した形)という大きな事件が起きました。当該病院では院内システムが利活用できなくなったことから数日間、「新規患者の受け入れ停止」「救急患者の受け入れ停止」をせざるを得ず、地域医療提供体制にも大きな影響が生じる事態となりました。

これまでには、例えばサイバー攻撃により個人情報が流出するなどした場合には「被害者1人につき500円程度のお見舞金を支払うことになる」などの、いわば「被害相場」がありますが、ランサムウェアによる被害では「組織が存続できなくなってしまう」ほどの桁違いの大打撃を受けるケースもあると危機管理の専門家(例えば内閣官房内閣サイバーセキュリティセンター重要インフラグループの結城則尚・内閣参事官や警察庁生活安全局情報技術犯罪対策課の齋藤正憲氏)は警鐘をならします。

厚労省医政局研究開発振興課医療情報技術推進室の田中彰子室長は、事態を重くみて「ガイドラインを急ぎ改訂する必要がある」と判断。「医療情報システムの安全管理に関するガイドライン改定に向けた調査一式改定作業班」を組織(座長は医療情報システムの第一人者である山本隆一:医療情報システム開発センター理事長が務める)し、ガイドライン改訂に向けた作業を進めるよう指示しました。

12月17日のワーキングにはガイドライン改訂の方向などが報告されました。改訂のポイントは大きく次の3点です。また病院によっては「ICTの専門家でないスタッフが医療情報システムの管理を担当している」ケースもあるため「分かりやすい記述」も大事な視点となります。

(1)制度的な動向への対応:例えばスタッフの私物であるPCやスマートフォンなどの利用による情報漏洩を防ぐために、ガイドラインにも具体的な対応方法を明示するなど(現在でも「原則として行うべきでない」旨は記載されていうが、より具体的な対策をガイドラインに明示し、注意喚起を促す)

制度的な動向への対応(医療等情報利活用WG2 211217)



(2)技術的な動向への対応:例えば上述した「ランサムウェア」対策について新項をたてるなどして具体的に記述し、医療現場等での対応を求める

ランサムウェアによる被害防止など技術的な動向への対応(医療等情報利活用WG3 211217)



(3)規制改革実施計画などへの対応:例えば「外部ネットワーク等が活用可能であること」を分かりやすく周知するなど

規制改革実施計画などへの対応(医療等情報利活用WG4 211217)



もちろんガイドラインには3点以外にも「クラウドサービス利用が拡大していく動きへの対応」「新たな情報通信技術への対応」など幅広い見直し論点がありますが、田中医療情報技術推進室は「今年度(2021年度)はどうしても対応しなければならない点(上記3点)に絞った対応とし、他の事項は中長期的な課題として対応したい」旨の考えを示しています。



構成員からも、「ランサムウェア」対策の重要性などが指摘されています。上述した徳島県の病院では数日間、新規患者受け入れ・救急患者受け入れをストップせざるを得ませんでしたが、こうした大きな被害が生じた原因・背景の1つとして「データのバックアップを取っていなかった」ことがあげられます。結城内閣参事官は「321ルールの応用」がランサムウェア対策でも重要になると指摘します。

具体的には▼データを「3」つ保存する▼バックアップファイルを「2」種類の頃なる媒体に保存する▼「1」つはオフラインに保管する―という対策です。この取り組みを徹底していれば、例えば犯罪者に院内データを暗号化等されたとしても、「別の保存・保管してあるデータ」によって診療を継続することが可能となります。

ランサムウェア対策の1つとしてバックアップデータの作成・保存・保管があげられる(医療等情報利活用WG6 211217)



改訂ガイドラインには、こうした具体的な対策についても盛り込まれることになりそうです。ガイドライン改訂は今年度(2021年度)中に行われる見込みで、年明け1月(2021年1月)には改訂案のワーキング提示→2月にパブリックコメント募集→3月改訂版(第5.2版)取りまとめというスケジュールで動くことになるでしょう。

GL改訂に向けたスケジュール(医療等情報利活用WG5 211217)



なお、ランサムウェア対策の一環として「医療機関と警察との連携」も重要です。例えば富山県公的病院長協議会では、富山県警と連携して「サイバー犯罪被害防止の取り組みに関する協定」締結。平時から情報共有を行うことで「犯罪被害の未然防止」に取り組んでいます。全国でこうした取り組みが進むことで、「スタッフの意識向上」にもつながると期待されます。



GemMed塾MW_GHC_logo

 

【関連記事】

電子カルテデータの共有、「キーとなる情報の明確化」が何よりも重要―社保審・医療部会(2)
電子カルテ標準化や国民への健康情報提供(PHR)など一体的に議論し、夏までに工程表まとめる―健康・医療・介護情報利活用検討会
電子カルテの標準化、まず「電子カルテの将来像」固め、それを医療情報化支援基金の補助要件に落とし込む―医療情報連携基盤検討会
2019年度予算案を閣議決定、医師働き方改革・地域医療構想・電子カルテ標準化などの経費を計上
異なるベンダー間の電子カルテデータ連結システムなどの導入経費を補助―厚労省・財務省



病院間の情報連携が求められる中で「電子カルテの標準化」が必要―日病協
「電子カルテの早期の標準化」要望に、厚労省は「まず情報収集などを行う」考え―社保審・医療部会
「電子カルテの標準仕様」、国を挙げて制定せよ―社保審・医療部会の永井部会長が強く要請
電子カルテの仕様を標準化し、医療費の適正化を促せ―四病協



「個人単位の被保険者番号」活用した医療等情報の紐づけ、まずNDBや介護DBを対象に―厚労省・医療等情報連結仕組み検討会
医療・介護等データ連結、「医療の質」向上と「個人特定リスク」上昇とのバランス確保を―厚労省・医療等情報連結仕組み検討会
個人単位の被保険者番号を活用した医療等情報を連結、具体的な仕組みの検討スタート―厚労省・医療等情報連結仕組み検討会



医療等のデータ連結において、個人の紐づけは「個人単位の被保険者番号」を基軸に―医療情報連携基盤検討会
医療情報ネットワークの2020年度稼働に向け、2018年夏までに「工程表」作成―医療情報連携基盤検討会



新型コロナ感染防止のため、「オンライン診療・医薬品処方が可能な範囲」を特例的・臨時的に拡大―オンライン診療指針見直し検討会
オンライン診療指針改訂案固まる、アフターピル処方「心理状況から対面受診困難な場合」に拡大―オンライン診療指針見直し検討会
オンライン診療での緊急避妊薬処方、産科医へのアクセス困難な場合に限定―オンライン診療指針見直し検討会
オンライン診療での緊急避妊薬処方、現実的かつ厳格な要件設定に向けた議論を―オンライン診療指針見直し検討会
オンライン診療でのアフターピル処方、3週間後の産婦人科受診等の厳格要件の下で可能に―オンライン診療指針見直し検討会(2)
訪問看護師がオンライン診療を補助することで大きなメリットが―オンライン診療指針見直し検討会(1)
アフターピル処方、オンライン診療のみで可能とすべきか―オンライン診療指針見直し検討会
不適切なオンライン診療が頻発、まずオンライン診療指針の改善等で対応―オンライン診療指針見直し検討会

 
オンライン診療の実施、リスクを説明し、書面で「オンライン診療希望」の旨の確認を―厚労省
オンライン診療等の実施指針案を固まる、技術革新等踏まえて毎年改訂―厚労省検討会
オンライン診療、セキュリティ対策を十分行えばスマホ同士でも可能―厚労省検討会
オンライン診療のルール整備へ議論開始―厚労省検討会