レポート

医療機関におけるサイバー攻撃を想定したBCP策定のポイント【RMFOCUS 第90号】

[このレポートを書いたコンサルタント]

高橋 奈々
会社名
MS&ADインターリスク総研株式会社
所属名
リスクコンサルティング本部 リスクマネジメント第四部
社会保障・医療福祉グループ コンサルタント
執筆者名
高橋 奈々 Nana Takahashi

2024.7.4

見どころ
ポイント
  • 近年医療機関を対象としたサイバー攻撃が多発している状況を受け、医療機関に対して「サイバー攻撃を想定したBCP(サイバーBCP)の策定」が実質的な義務化対応として求められることとなった。
  • 従来の自然災害に対応するBCPと比較すると、サイバーBCPでは、初動対応において原因調査やインシデントレベルの判定のように通常時から検討しておくべき事項について固有の事項が存在する。
  • サイバー攻撃はシステム部門のみならず、診療部門、診療に関連する管理部門・事務部門など、医療機関全体に影響を及ぼす恐れがあるため、BCM推進体制を構築し、重要業務に対する代替策・応急策とそれらを円滑に実施するための通常時の緩和策を講じることが重要である。

はじめに

本稿では、医療機関に求められるサイバーセキュリティ対策の動向について、厚生労働省発出「医療情報システムの安全管理に関するガイドライン(v6.0版)」(以下、「ガイドライン(v6.0版)」)および令和6年度診療報酬改定事項などをふまえて、医療機関に求められるサイバーセキュリティ対策について解説を行う。

1. 医療機関を対象としたサイバー攻撃の事例

近年、医療機関を対象としたサイバー攻撃が相次いで発生している。医療機関に対するサイバー攻撃は、システム停止や復旧費用の発生など、直接的な被害に加えて、重要インフラの一環であるという特性上、地域において求められる重要な診療機能の長期停止など、患者の生命に関わる被害を及ぼす可能性もある。
2021年に相次いで発生したランサムウェアによる医療機関に対するサイバー攻撃の事例は、多くのメディアで取り上げられた。これらの事例では、サイバー攻撃によりファイルが暗号化され、電子カルテが使用不能となった。幸いにも本インシデントによる患者の生命などへの影響や個人情報の漏えいは確認されなかったものの、通常診療の再開には、数カ月間と長期にわたる復旧対応を要した。
近年増加しているサイバー攻撃や、従来の情報セキュリティインシデントの分類を図1に示した。医療機関はその特性上、要配慮個人情報を取り扱うため、図1内①~③に該当する情報漏えいなど、従来型の情報インシデントについては、一定の対策が講じられてきた。図1内④に分類されるサイバー攻撃は、医療情報のネットワーク接続や、電子カルテなど医療機器のリモートメンテナンス化により、外部からの攻撃が可能となったことで新たな脅威として近年被害が増加している。2021年に生じた医療機関に対するサイバー攻撃事例ではVPN接続の脆弱性により、不正アクセスが生じた。また、同年発生した異なる医療機関に対するサイバー攻撃の事例では、外部業者(給食業者)システムのリモートメンテナンスシステムを踏み台とし、病院の基幹システムへ侵入されたことが判明している。

図1
【図1】セキュリティインシデントの分類(出典:厚生労働省「医療情報連携ネットワーク支援Navi 医療機関を取り巻く情報セキュリティ対策の現状」1)を基にMS&ADインターリスク総研作成)

これら顕著な事例以外にも、医療機関に対するサイバー攻撃は多数発生している。警視庁によれば、医療・福祉分野におけるサイバー攻撃(ランサムウェア被害)の被害件数は、2022年下期には5件、2023年下期では11件と増加傾向にある2)。また、サイバー攻撃は医療機関の規模や病院機能にかかわらず発生している。
診療所がサイバー攻撃の対象になった事例も存在し3)、すべての医療機関がサイバー攻撃の対象になりうるという想定の元、セキュリティ対策を講じることが肝要である。
ガイドライン(v6.0版)においては、サイバー攻撃を想定したBCP(以下、「サイバーBCP」)の策定が明示されている。システム障害の復旧手順書・マニュアル配備とサイバーBCPの対象範囲や文書の目的にはどのような違いがあるのだろうか。・・・

ここまでお読みいただきありがとうございます。
以下のボタンをクリックしていただくとPDFにて全文をお読みいただけます(無料の会員登録が必要です)。

会員登録で レポートを全て見る