GemMed | データが拓く新時代医療 > 医療提供体制改革 > 医療機関においてサイバーセキュリティ対策の早急な強化を―政府

医療機関においてサイバーセキュリティ対策の早急な強化を―政府

2022.3.7.（月）

ランサムウェアによる甚大な被害などが拡大しており、医療機関などでもサイバーセキュリティ対策を強化する必要がある―。

例えばサイバー攻撃によるリスクに備えるために、「パスワード管理の徹底」「本人認証の強化」「システム上の対応」「バックアップデータの確保」などを行うとともに、事案が発生した際の対応などを事前に整理・周知しておくことが極めて重要である―。

厚生労働省等は3月1日に「サイバーセキュリティ対策の強化について（注意喚起）」を示し、医療機関をはじめとする重要インフラ事業者等に対し、サイバー攻撃の脅威に対する認識を深めるとともに、リスク低減のための措置等を講じることによりセキュリティ対策の強化に努めるよう要請しました（厚労省のサイトはこちら）。

ランサムウェアでは事実上のデータ消失もありえ、バックアップ実施等が重要

昨今「ランサムウェア」の攻撃などにより、従前のコンピュータウイルスによる個人情報流出などとは比べ物にならない甚大な被害が生じており、病院も例外ではありません。

ランサムウェア（Ransom（身代金）＋Software（ソフトウェア）の造語）はコンピュータウイルスの1種で、例えば組織（ここでは病院）の保有するデータを暗号化してしまい「暗号を解いて欲しければ多額の費用（身代金）を支払え。言うことを聞かなければ機密データをばらまき、データを使えなくしてやる」などと脅してくる犯罪に使われています。

海外はもちろん、我が国でもこのランサムウェアによる被害が急増しており、2021年秋には徳島県の病院がランサムウェア攻撃を受け、患者の電子カルテをはじとする医療データがすべて暗号化され病院で利用できなくなってしまう（病院側でデータを見ることができなくなり、実質的に消失した形）という大きな事件が起きました。当該病院では院内システムが利活用できなくなったことから数日間、「新規患者の受け入れ停止」「救急患者の受け入れ停止」をせざるを得ず、地域医療提供体制にも大きな影響が生じる事態となりました。

このため国は、ランサムウェア対策などを盛り込んだ「医療情報システムの安全管理に関するガイドライン」改訂作業を進めており（近く決定）、また医療を含めた14重点分野については、この4月（2022年4月）からサイバーセキュリティ対策が義務化されます。

関連して、今般、▼経済産業省▼金融庁▼総務省▼厚生労働省▼国土交通省▼警察庁▼内閣官房内閣サイバーセキュリティセンター―が連盟で、医療機関をはじめとする重要インフラ事業者等に対し、次のような対策を講じることを強く求めました。

（1）リスク低減のための措置

▽パスワードが単純でないかの確認（1234、abcd、1qaz、2wsxｍなどでないか）
▽本人認証の強化（アクセス権限の確認、多要素認証の利用、不要なアカウントの削除など）

▽IoT機器を含む情報資産の保有状況の把握
→とりわけ「VPN装置」や「ゲートウェイ」など、インターネットとの接続を制御する装置の脆弱性は攻撃に悪用されることが多いことから、セキュリティパッチ（最新のファームウェアや更新プログラム等）を迅速に適用する

▽以下の点などを組織内の周知し、遵守させる
▼メールの添付ファイルを不用意に開かない
▼URL（こちらもメール等に記載されることが多い）を不用意にクリックしない
▼不信なメール等についてはセキュリティ担当者に連絡・相談を迅速に行う

（2）インシデントの早期検知

▽サーバ等における各種ログを確認する

▽通信の監視・分析やアクセスコントロールを再点検する

（3）インシデント発生時の適切な対処・回復

▽データ消失等に備えて、データのバックアップの実施および復旧手順を確認する
→上述のとおりランサムウェアにより組織内のデータが「暗号化」されてしまい、業務に多大な支障が出るケースが少なくない
→データのバックアップに関しては「321ルールの応用」が重要で、具体的には▼データを「3」つ保存する▼バックアップファイルを「2」種類の頃なる媒体に保存する▼「1」つはオフラインに保管する―という対策などを検討し、早急に講じる必要がある（関連記事はこちら）