全医療機関がサイバー攻撃に備え「最低限すべきこと」整理、医療機関は「鍵のかかっていない金庫」であると認識を—社保審・医療部会(3)
2023.7.10.(月)
サイバー攻撃に備えて、すべての医療機関が「最低限なすべき」ことを整理したチェックリストが示された。すべての医療機関で「自院のサイバー対策の状況はどうなっているのか」を確認し、システムベンダの協力も得て、1つ1つ対策を進める必要がある—。
7月7日に開催された社会保障審議会・医療部会では、こうした議論も行われています(同日に行われた「医療法人の経営情報データベース(MCDB)」に関する記事はこちら、医療DX推進工程表に関する記事はこちら)。
医療機関経営層こそが「昨今のサイバー攻撃の恐ろしさ」を十分認識してほしい
Gem Medでも繰り返し報じているとおり、「ランサムウェアと呼ばれるコンピュータウイルスにより、医療機関等が多大な被害を受けてしまった」事例が散発しています。一昨年秋(2021年秋)には徳島県の病院が、昨秋(2022年秋)には大阪府の大規模急性期病院が被害にあい、電子カルテをはじとする医療データがすべて利用できなくなり(暗号化されてしまうなど)、長期間の診療停止を余儀なくされました。こうした新たなサイバー攻撃を受けた場合、対策が十分になされいなければ「医療機関閉鎖」(いわゆる倒産)にも追い込まれかねない状況も発生します。今後、医療DXを推進する中で、医療機関がサイバー攻撃に合う場面がますます増えていくと予想されます。
そこで、厚労省は、医療機関のサイバー攻撃への備えを進めるために次の3つの取り組みを行うことを決定しました。
(1)「医療情報システムの安全管理に関するガイドライン」を改訂(第6.0版)し、その遵守を求める
(2)都道府県による立入検査(医療法第25条第1項・第3項)において「サイバーセキュリティ対策」確認を求める(この6月(2023年6月)からの検査に適用)
(3)医療機関・システムベンダー向けのサイバーセキュリティ対策に向けたサイバーセキュリティ対策の「チェックリスト」などを提示する
また(2)の立入検査の中に「サイバーセキュリティ対策は整えられているか」という項目を追加し、都道府県や国が「医療機関の対策を検査し、必要に応じて改善に向けた助言などを行う」仕組みが整えられました。外部の目も入れて、「サイバーセキュリティ対策を整えていく」考えです。
ただし、立入検査の場で、突然「貴院は対策が不十分ですね。改善してください」と指摘されても、「何から手をつければよいのか分からない」医療機関等も少なくないことから、実際にはなかなか対策が進まないと考えられます。
そこで(3)のチェックリストを公表し、「平時から医療機関・システムベンダが連携して、自院のセキュリティ対策は十分かを確認する。不十分な場合には、順を追って『まず何から始めればよいか』などを明らかにし、確実に対策を進めてもらう」こととしました。チェックリストでは、まず「本年度(2023年度)中に実施すべき事項」として、例えば▼医療情報システム安全管理責任者の設置▼サーバ、端末 PC、ネットワーク機器の台帳管理▼システムベンダへの「製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)」提出要請▼サーバー利用者の職種・担当業務別、情報区分毎のアクセス利用権限設定▼院内システム利用に関する退職者アカウント、使用していないアカウント、不要なアカウントなどの削除▼アクセスログの管理▼ネットワーク機器に関するセキュリティパッチ(最新ファームウェアや更新プログラ ム)適用▼インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡体制図作成—などを行うことを求めています。これらの項目1つ1つをチェックし、実施できていなければ「いつまでに実施するか」を検討し、本年度中(2023年度中)に全項目を完了することを目指します。
また、来年度(2024年度)には、上記のほかにも▼バックグラウンドで動作している不要なソフトウェア・サービスの停止▼インシデント発生時にも診療継続するために必要な情報の検討と、データやシステムのバックアップの実施、復旧手順確認▼サイバー攻撃を想定した事業継続計画(BCP)の策定—を行うことも求められています。
あわせて、チェックリストでは、システムベンダに対して上述の医療機関の取り組みを「支援する」ことも項目別に求めています。
さらに、上述の取り組みについて、例えば「医療情報システム安全管理責任者は誰が担当すればよいのか?」「インシデント発生時における連絡体制図とは具体的にどのようなものか?」などの疑問もわきます。こうした点を明確するための「チェックリストマニュアル」も用意されています。
7月7日の医療部会では、厚生労働省医政局の田中彰子参事官(特定医薬品開発支援・医療情報担当)(医政局特定医薬品開発支援・医療情報担当参事官室長併任)から、こうした内容について詳細な報告を受けたのち、委員間での意見交換が行われました。
そこでは、「医療機関のサイバーセキュリティ対策は極めて重要であり、十分に実施しなければならない」点を確認したうえで、いくつかの要望が出ています。
まず小熊豊委員(全国自治体病院協議会会長)や加納繁照委員(日本医療法人協会会長)ら医療提供サイドからは「サイバーセキュリティ対策にもコスト・人材・時間がかかる。そうした点への配慮を行ってほしい」旨を要望。小熊委員は「小規模病院ではとりわけ難しい対応になる」と指摘しています。
これに対し田中参事官は「小規模だから、専門スタッフがいないから手を打てない、理解できないということではいけない。医療DXを進める中では、すべての医療機関が最低限守ってもらわなければ点、理解してもらわなければならない点がある。国もそこを分かりやすく提示していく。例えばガイドライン6.0版でも、『医療機関経営者は何を考え、何をしなければならないのか』を分かりやすく提示している。今後、研修会なども行っていくので、その内容も踏まえて、まず各医療機関でなすべき部分への対応を進めてほしい」と理解を求めました。
現在の医療機関は「鍵のかかっていない金庫」のような状況である指摘されます。まず「鍵がかかっているのか、いないか」をチェックリストを活用し、システムベンダの協力も得て確認し、「何をすればよいか」を1つ1つ実行していくことが重要です。チェックリストではシステムベンダ向けの内容も含まれており、「この点に関するシステムベンダの協力は、無償で行ってもらえる(通常の保守サービスの範疇に含まれている)」と考えられています。
もっとも、医療機関の経営状況は厳しく(急性期病院の利益率(コロナ補助金を除く医業・介護利益/医業・介護費用、2021年)は、医療法人では1.8%、国立病院ではマイナス1.7%、公立病院(県立病院・市立病院など)ではマイナス12.4%、公的病院(日赤など)では0.0%にとどまっている)、「サイバーセキュリティ対策にかける費用捻出が難しい、ない袖は振れない」ことも事実です。
今後、2024年度診療報酬改定に向けた中央社会保険医療協議会論議の中で、「サイバーセキュリティ対策にかかるコストへの支援」が論点に上がることなどにも期待が集まります。
また、「立入検査を実施する担当者(保健所スタッフ)向けの研修会等を開催するべきである。自治体担当者(保健所スタッフ)もICTに詳しい人間ばかりではない」との要望が佐保昌一委員:日本労働組合総連合会総合政策推進局長)や自治体サイドから出ており、田中参事官は「必要に応じて研修会開催なども検討していく」考えを示しました。
医療機関経営層は「サイバーセキュリティ対策」の重要性を認識し、「投資優先度の向上」を図っていくことが重要です。システムベンダと協議し、まず「自院の状況をチェックする」ことから始めましょう。
【関連記事】
医療DX推進には国民の理解・信頼が必要、誰がメリットを受けるかを整理し、そこから財政支援も考えていく—社保審・医療部会(2)
全国の医療機関で電子カルテ情報を共有可能とする仕組み2024年度から順次稼働、標準型電子カルテの全医療機関での2030年導入目指す
骨太方針2023を閣議決定、医療提供体制改革・医療DX推進などの方向は明示するも、介護保険改革、少子化対策財源などは結論を先送り
原則、すべての医療法人がG-MIS用いて毎年度の経営情報を報告、国・都道府県で分析して国民に情報公表—社保審・医療部会(1)
人生の最終段階における受けたい・受けたくない医療・ケアを話し合うACP、医療・介護職でも2割が知らず—社保審・医療部会(2)
オンライン診療「推進基本方針」を近く取りまとめ!都市部で「オンライン診療のためのクリニック」認めるか?—社保審・医療部会(1)
オンライン診療や遠隔画像診断などの「遠隔医療」、安全と質を確保しながらの推進方針策定へ―社保審・医療部会
国や専門医療機関が積極的に情報収集・発信し、「新興感染症に対応する医療体制」の円滑整備目指せ—社保審・医療部会
第8次医療計画における「新興感染症対策」、医療現場の混乱さけるため入院調整権限などは都道府県に一本化—社保審・医療部会(2)
地域ごとに「かかりつけ医機能の確保」を目指し、患者・国民が「かかりつけ医機能を持つ医療機関」の選択を支援する—社保審・医療部会(1)
糖尿病治療薬を「ダイエット薬」等として処方する不適切なオンライン診療が散見、指針を見直し、国民にも周知を—社保審・医療部会(2)
「かかりつけ医機能」持つ医療機関の情報を国民に分かりやすく提示し、地域で機能充実論議を進める—社保審・医療部会(1)
医療機関のサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省
院内処方情報の格納・共有、電子処方箋の中で行うか?電子カルテ情報交換サービスの中で行うか?―医療等情報利活用ワーキング(3)
サイバーセキュリティ対策は小規模病院ほど不十分、大病院でもBCP策定やリスク低減措置など進まず―医療等情報利活用ワーキング(2)
医療情報ガイドライン第6.0版を概ね了承し5月末に公表、経営層もセキュリティ対策の重要性認識を―医療等情報利活用ワーキング(1)
医療・介護等の情報利活用、「なぜ必要なのか、メリット・リスクは何か」の国民への丁寧な周知が重要—健康・医療・介護情報利活用検討会
医療機関等のサイバーセキュリティ対策、「まず何から手を付ければよいか」を確認できるチェックリストを提示―医療等情報利活用ワーキング
医療情報システム安全管理ガイドライン改訂版の骨子を公表、病院院長等もサイバー攻撃の恐ろしさを十分に認識せよ!
救急医療における患者の診療情報確認、救急医療従事者に特別権限付与し「通常の端末」で確認する仕組みに―医療等情報利活用ワーキング(2)
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)