近年、クリニックへのサイバー攻撃が激化しており、その対策は急務になっています。
さらに、政府はこれまで以上のサイバーセキュリティ対策強化を求めています。
安定した医療サービスを提供し続けるために、ツールの導入や設定などを見直しましょう。
今回は、サイバーセキュリティ対策についてクリニックの運営に携わる方が知っておくべきことをご紹介します。
「3省2ガイドライン」の概要
2022年10月に大阪市の某総合医療センターにてサイバー攻撃による被害が発生しました。
これにより、電子カルテを含めた医療情報システムが利用できなくなり、救急診療や外来診療などの診療機能に大きな支障が生じました。
政府は「3省2ガイドライン」によるセキュリティー対策強化を医療機関に求めています。
「3省2ガイドライン」の概要についてご紹介します。
3省2ガイドラインについて
「3省2ガイドライン」とは、厚生労働省・経済産業省・総務省の3省によって策定された2つのガイドラインのことです。
医療情報システムのセキュリティやプライバシーに配慮した管理や運用方法などを示しています。
2025年2月現在の最新版は、2023年5月に公開された「医療情報システムの安全管理に関するガイドライン 第6.0版」と、同年7月に公開された「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1版」となっています。
近年、サイバー攻撃の増加や多様化が進んでいます。
自院の医療情報システムがサイバー攻撃の被害にあった場合、システム停止が患者の死亡事故へとつながる危険性があります。
そのため、3省は、さまざまなセキュリティ強化の取り組みを更新し続けています。
「医療情報システムの安全管理に関するガイドライン 第6.0版」の概要
「医療情報システムの安全管理に関するガイドライン 第6.0版」(以下「医療情報システム」)は、医療情報システムの運用に関わる担当者を対象とした指針です。
厚生労働省が策定しました。
第6.0版は、守るべき指針をすべて「遵守事項」に一本化しています。
医療情報システムの安全管理に関わる読者の属性ごとに章が分かれており、以下4つの構成で纏められています。
- 概説編(全読者向け)
- 経営管理編(意思決定者・経営層向け)
- 企画管理編(システムの安全管理者向け)
- システム運用編(システムの運用担当者向け)
また、病院内外問わず、守るべき情報にアクセスするものは一切信用しないという考え方(ゼロトラスト思考)の重要性がガイドラインの中で強調して記載されています。
さらに、サイバー攻撃、システム障害などの非常時への具体的な対応や対策についても記載されているため、ポイントを押さえていつでも対応できる体制を整備することが必要です。
「医療情報システムガイドライン」には、ほかにもさまざまな指針が記載されているため、担当者は、指針を熟知し、医療情報システムの安全管理に努めましょう。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1版」の概要
事業者向け「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1版」(以下「提供事業者向けガイドライン」)は、医療機関に情報システムを提供や受領する事業者を対象とした指針です。
経済産業省と総務省が、「医療情報システムガイドライン」を踏まえて、近年、多様化が進んでいるサイバー攻撃に対応するために策定しました。
事業者が安全管理のために遵守すべき義務や責任などについて記載されています。
具体的な事例や要件が多く解説されているため、トラブルを想定しながら各項目を確認しやすいでしょう。
また、事業者が医療機関へ文書化するべき情報や、双方の役割分担の明確化などが示されています。
抜け漏れなく実装し、求められる安全管理水準を確保できるように努めましょう。
クリニックのサイバーセキュリティ対策のポイント4つ
クリニックのサイバーセキュリティ対策方法をご紹介します。
また、訪問診療を行う場合は、院内の情報システムだけでなく、すべてのハードウェアに対策を講じることを忘れずに実施しましょう。
パスワード管理の徹底
パスワード管理の徹底は、最も基本的なサイバーセキュリティ対策です。
パスワードを複数のシステムで使い回さず、異なるものを使用することで、一つのシステムが侵害されても、その他への影響を最小限に抑えることができます。
また、情報漏洩に備えて、誰が何の作業をしたのか、どこでアクシデントが発生したのかなどを把握できるように、スタッフ一人ひとりに異なるIDを発行することも必要不可欠です。
さらに、PCをログインしたままの状態で放置しておくと、第三者が簡単に情報にアクセスできます。
そのため、使用後は、必ずログアウトしましょう。
ファームウェアやソフトウェアなどを最新の状態に保つ
プログラムの不具合や設計上のミスによるサイバーセキュリティ上の欠陥(脆弱性)は、サイバー攻撃者の侵入口になってしまいます。
脆弱性をカバーするために、ファームウェアやソフトウェアなどのアップデートを常に実施しましょう。
この対策は、定期的なアップデート情報の収集が必要不可欠です。
情報システムのメンテナンスを外部ベンダに依頼している場合は、ガイドラインに則して対応内容を確認しましょう。
迅速に対応できる体制作りがサイバーセキュリティの強化に繋がります。
バックアップ取得
サイバー攻撃に備え、定期的なバックアップ取得は必要不可欠です。
患者の個人情報がわからなくなることは、患者の死亡事故へつながる危険性が高まります。
3-2-1ルール(3つのバックアップコピー、2種類の異なるメディア、1つのオフサイト保管)を徹底しましょう。
また、バックアップを取得しておくことで、クラウドストレージのアクセス不可やデータ消失などが発生してしまった場合でも、システムの停止を最小限に抑えることができます。
併せて、トラブルが発生した際に迅速に対応できるように、バックアップからの復旧手順を文書化し、実行しやすい方法も検討しましょう。
情報システムの分離化
外部からの接続を徹底的に防ぐために、インターネットと自院の情報システムを分離化することも必須です。
院内には、多様なIoT機器や医療機器がネットワークに接続されています。
それらの不要な通信や開放ポートを制限し、サイバー攻撃のリスクを抑えましょう。
特に、医療機器と一般のIT機器は別のネットワークセグメントに配置し、相互接続しないことが重要です。
USBメモリやSSD、HDDなどの外付けのハードウェアを院内の医療情報システムに接続しないよう気を付けましょう。
また、集中的にネットワーク管理を行うUTMを利用することで通信制御がしやすくなります。
ネットワーク全体を監視するため、個別にセキュリティー対策ができない端末も対応できます。
まとめ
医療機関は、健康保険証番号やクレジットカード番号などのセンシティブな情報を取り扱うため、情報漏洩のリスクが高いです。
サイバー攻撃に備え、できるだけ早くサイバーセキュリティの仕組みを考えることをおすすめします。
現行のサーバーセキュリティー対策だけでは、不十分なものが多いため、常に見直しと更新に気を付けましょう。
