GemMed | データが拓く新時代医療 > 医療提供体制改革 > ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング

ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング

2021.12.21.（火）

昨今「ランサムウェア」攻撃などにより、従前のコンピュータウイルスによる個人情報流出などとは比べ物にならないる甚大な被害が生じており、病院も例外ではない。稼働不能になり「組織が存続できなくなる」事態すらある点を認識する必要がある―。

こうした事態を重くみて「医療情報システムの安全管理に関するガイドライン」について、今年（2021年）1月に改訂を行ったばかりであるが、来年度（2022年度）中に再改訂を行う―。

12月17日に開催された健康・医療・介護情報利活用検討会「医療等情報利活用ワーキンググループ」（以下、ワーキング）において、こういった議論が行われました。今年度（2021年度）にガイドライン改訂が行われる見込みで、専門家は「ランサムウェアによって院内データが消失する場合に備え、バックアップデータの作成・適切な保存・保管を行う」ことなどを強く推奨しています。

医療情報システムの安定管理GLを見直す（医療等情報利活用WG1　211217）

医療情報システムの安全管理ガイドラインを今年度（2021年度）中に改訂

電子カルテやオーダリングシステムなど「医療情報システム」の利活用が多くの医療機関等で進められています。データを蓄積し、それらを有機的に結合・解析することで「医療の質向上」や「業務の効率化」などが進むと期待されます。また「院内」にとどまらず「地域」で診療データを共有する取り組みも多くの地域では進んでおり、現在は「全国単位で診療データを共有する」環境の構築に向けた議論が進められています（関連記事はこちら）。

ただし、診療データは非常に機微性の高い患者の個人情報であり、安易に共有・外部提出することなどは好ましくありません。このため適切に診療データを保存・利活用するための指針として厚生労働省は「医療情報システムの安全管理に関するガイドライン」を策定しており、医療機関等や医療情報システムメーカーはこれに準拠した取り組みを行うことが求められています。

このガイドラインは今年（2021年）1月に▼クラウドサービスへの対応▼認証・パスワードの対応強化▼サイバー攻撃による対応▼外部保存受託事業者の選定基準対応―といった「安全確保策を強化する」視点で改訂されました（第5.1版）。

しかし、そこから1年も経たないうちに、例えば「ランサムウェアと呼ばれるコンピュータウイルスによって医療機関等が多大な被害を受けてしまった」「規制改革実施計画（2021年6月）の中で『外来ネットワーク等の利活用可能性』をさらに周知すべき等の指摘がなされた」といった大きな動きが生じ、「再度の改訂が必要」な状況となっています。

ランサムウェア（Ransom（身代金）＋Software（ソフトウェア）の造語）はコンピュータウイルスの1種で、例えば組織（ここでは医療機関）の保有するデータを盗み出すなどし「データを返して欲しければ多額の費用（身代金）を支払え。言うことを聞かなければ機密データをばらまくぞ。さらにデータを使えなくしてやる」などと脅してくる犯罪に使われています。海外はもちろん、我が国でもこのランサムウェアによる被害が急増しており、今秋（2021年秋）には徳島県の病院がランサムウェア攻撃を受け、患者の電子カルテをはじとする医療データがすべて暗号化され病院で利用できなくなってしまう（病院側でデータを見ることができなくなり、実質的に消失した形）という大きな事件が起きました。当該病院では院内システムが利活用できなくなったことから数日間、「新規患者の受け入れ停止」「救急患者の受け入れ停止」をせざるを得ず、地域医療提供体制にも大きな影響が生じる事態となりました。

これまでには、例えばサイバー攻撃により個人情報が流出するなどした場合には「被害者1人につき500円程度のお見舞金を支払うことになる」などの、いわば「被害相場」がありますが、ランサムウェアによる被害では「組織が存続できなくなってしまう」ほどの桁違いの大打撃を受けるケースもあると危機管理の専門家（例えば内閣官房内閣サイバーセキュリティセンター重要インフラグループの結城則尚・内閣参事官や警察庁生活安全局情報技術犯罪対策課の齋藤正憲氏）は警鐘をならします。

厚労省医政局研究開発振興課医療情報技術推進室の田中彰子室長は、事態を重くみて「ガイドラインを急ぎ改訂する必要がある」と判断。「医療情報システムの安全管理に関するガイドライン改定に向けた調査一式改定作業班」を組織（座長は医療情報システムの第一人者である山本隆一：医療情報システム開発センター理事長が務める）し、ガイドライン改訂に向けた作業を進めるよう指示しました。

12月17日のワーキングにはガイドライン改訂の方向などが報告されました。改訂のポイントは大きく次の3点です。また病院によっては「ICTの専門家でないスタッフが医療情報システムの管理を担当している」ケースもあるため「分かりやすい記述」も大事な視点となります。

（1）制度的な動向への対応：例えばスタッフの私物であるPCやスマートフォンなどの利用による情報漏洩を防ぐために、ガイドラインにも具体的な対応方法を明示するなど（現在でも「原則として行うべきでない」旨は記載されていうが、より具体的な対策をガイドラインに明示し、注意喚起を促す）

制度的な動向への対応（医療等情報利活用WG2　211217）

（2）技術的な動向への対応：例えば上述した「ランサムウェア」対策について新項をたてるなどして具体的に記述し、医療現場等での対応を求める

ランサムウェアによる被害防止など技術的な動向への対応（医療等情報利活用WG3　211217）

（3）規制改革実施計画などへの対応：例えば「外部ネットワーク等が活用可能であること」を分かりやすく周知するなど

規制改革実施計画などへの対応（医療等情報利活用WG4　211217）

もちろんガイドラインには3点以外にも「クラウドサービス利用が拡大していく動きへの対応」「新たな情報通信技術への対応」など幅広い見直し論点がありますが、田中医療情報技術推進室は「今年度（2021年度）はどうしても対応しなければならない点（上記3点）に絞った対応とし、他の事項は中長期的な課題として対応したい」旨の考えを示しています。

構成員からも、「ランサムウェア」対策の重要性などが指摘されています。上述した徳島県の病院では数日間、新規患者受け入れ・救急患者受け入れをストップせざるを得ませんでしたが、こうした大きな被害が生じた原因・背景の1つとして「データのバックアップを取っていなかった」ことがあげられます。結城内閣参事官は「321ルールの応用」がランサムウェア対策でも重要になると指摘します。

具体的には▼データを「3」つ保存する▼バックアップファイルを「2」種類の頃なる媒体に保存する▼「1」つはオフラインに保管する―という対策です。この取り組みを徹底していれば、例えば犯罪者に院内データを暗号化等されたとしても、「別の保存・保管してあるデータ」によって診療を継続することが可能となります。

ランサムウェア対策の1つとしてバックアップデータの作成・保存・保管があげられる（医療等情報利活用WG6　211217）

改訂ガイドラインには、こうした具体的な対策についても盛り込まれることになりそうです。ガイドライン改訂は今年度（2021年度）中に行われる見込みで、年明け1月（2021年1月）には改訂案のワーキング提示→2月にパブリックコメント募集→3月改訂版（第5.2版）取りまとめというスケジュールで動くことになるでしょう。

GL改訂に向けたスケジュール（医療等情報利活用WG5　211217）

なお、ランサムウェア対策の一環として「医療機関と警察との連携」も重要です。例えば富山県公的病院長協議会では、富山県警と連携して「サイバー犯罪被害防止の取り組みに関する協定」締結。平時から情報共有を行うことで「犯罪被害の未然防止」に取り組んでいます。全国でこうした取り組みが進むことで、「スタッフの意識向上」にもつながると期待されます。