昨今、病院においてもランサムウェア被害を耳にするようになってきました。
2021年12月に徳島県の「つるぎ町立半田病院(120床)」の電子カルテが、身代金要求型のコンピューターウィルス「ランサムウェア」に感染した事案は大きく報道され記憶に新しいかと思います。
最近では岡山県の地方独立行政法人岡山県精神科医療センターが2024年5月にランサムウェアによるサイバー攻撃で被害を受けています。病院からの発表によると流出した可能性のある患者情報(氏名、住所、生年月日、病名等)は最大約4,000人分(2024年6月11日発表時点)に及んでいます。
医療法上、令和5年4月1日から、管理者の注意義務等として「病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置を講じなければならない。」と定められました。サイバーセキュリティ対策において、厚生労働省は『医療情報システムの安全管理に関するガイドライン』の順守を求めています。
保健所等による医療法の立ち入り検査においても、チェックリストによる対策の進捗状況の確認や、サイバーセキュリティにおけるBCP(業務継続計画)の作成が求められています。
クラウドでのデータの管理などが当たり前になりつつある現状で、一般の民間企業ではパソコン1台ごとのセキュリティの導入、ファイアウォールの設置、社内ネットワークのID・パスワードの管理及びセキュリティの導入、クラウドサーバー利用にあたっての細かいルールなど一定程度のセキュリティを設けている場合が多いですが、一方で中小病院においてはレセコン、電子カルテメーカー等によるセキュリティはしっかりとしているものの、院内サーバーなど独自で組まれているネットワーク環境においてはセキュリティが脆弱な場合が多いように感じます。病院スタッフとしてシステムエンジニアの雇用を試みている病院もありますが、看護師等の国家資格者並みの給料設定にならず、事務職員並みの給与となると、なかなか採用にいたっていないという状況です。
サイバー攻撃は、特定の大きな病院だけを狙ってくるわけではありません。中小病院だからといって狙われないわけではありません。補助金が出るようになったら対策をしようというお考えもあるかと思いますが、いつサイバー攻撃を受けるかわかりません。弊社クライアントにおいても、先日「オフラインバックアップ」の対応を行ったところも出てきています。サイバー攻撃を受けたとしても、早期に回復できる手段としては有効で、コストもそれほどかかりません。外部のネットワークと病院の接続の間に「ファイアウォール」を設置することや、すべてのパソコンにセキュリティソフトを導入するといった対応はしておきたいところです。
サイバーセキュリティBCPについては、難しいものを立派に作るのではなく、自院にあった対応マニュアルを具体的にわかり易く作られることをお勧めします。これまで実際にシステムトラブルで大変な思いをされた経験などを基に「その時どう対応した」ということをマニュアル化することから始めても良いのではないでしょうか。お会計は後日とするが新規患者については預り金をもらうなど、実際に経験したことをルール化、マニュアル化していくことから始めてはいかがでしょうか。
世間を騒がした株式会社KADOKAWAのグループ会社である株式会社ドワンゴ(ニコニコサービス等)は個人情報が外部漏洩され、脅迫された上に、流出した情報が公開されてしまいました。もし同じようなことが病院で起これば非常に大変なことになります。取り扱っている情報が「病名・病状」や「治療内容」など、「要配慮個人情報」の中でも特に秘匿されるべきものであるということの認識をもつ必要があります。
ぜひ、サイバーセキュリティ対策への取り組みを引き延ばしにされることなく、明日は我が身と思って早急に対応していただければと思います。