出典:厚生労働省「医療情報システムの安全管理に関するガイドライン」 第5.2版 令和4年3月
ガイドライン改訂の背景
厚生労働省は、医療機関へのサイバー攻撃が急増に伴い、医療機関の情報セキュリティに関するガイドラインの改訂を行い、令和4年3月に「医療情報システムの安全管理に関するガイドライン」第5.2版として公開しました。
近年のサイバー攻撃の手法の多様化・巧妙化、情報セキュリティに関するガイドラインの整備、地域医療連携や医療介護連携等の推進、クラウドサービス等の普及等に伴い、医療機関等を対象とするセキュリティリスクが顕在化していることへの対応として、情報セキュリティの観点から医療機関等が遵守すべき事項等の規定を設けるなど所要の改定が行われています。
ガイドラインは本編で医療情報システムの安全対策上、求められる内容を確認し、対策を検討する際の参考資料として考え方や具体例などを別冊で確認 することができます 。
医療情報システムの安全管理に関するガイドライン 第5.2版(本編)はこちら
医療情報システムの安全管理に関するガイドライン 第5.2版(別冊)はこちら
急増する医療機関を狙ったサイバー攻撃
ランサムウェアにより攻撃を受けた病院が医療システムが使えなくなったり、患者情報が暗号化され身代金を要求される事態が多く発生しています。2022年1月に愛知県春日井市の春日井リハビリテーション病院では、ランサムウェアと思われる攻撃を受け患者の電子カルテが閲覧できなくなり、復旧には数か月掛かっています。そして、その間の患者のカルテや事務業務は全て手書きで対応したことが報告されています。また、2021年10月に徳島県つるぎ町立半田病院では、約8万5千人分の患者情報が暗号化され、「データを元に戻したければ身代金を払え」と要求されるサイバー攻撃を受けています。診療報酬計算や電子カルテ閲覧に使用する院内システムが使用できなくなり、外来患者の新規受け付不能に陥りました。
エモテットによる医療機関の被害も多く報告されています。2022年2月には医療法人の大雄会がエモテットに感染しメール送受信履歴が流出し、取引先などに不審メールが送付されたことを謝罪しています。
また、2022年3月にも神奈川県のクローバーホスピタルがエモテットに感染しホームページに「不審メールに関するお詫びとお知らせ」を公開しました。これら医療機関へのエモテットによるサイバー攻撃の急増に伴い、2022年4月に日本医療法人協会からエモテットに関する注意喚起のお知らせがだされています。
「医療情報の安全に関するガイドライン」改訂のポイント
「医療情報の安全に関するガイドライン」は2005年3月に初版が公開されて以来、病院、一般診療所、薬局など医療機関が遵守すべきガイドラインとして厚生労働省から提示されてきました。今回の改訂は2021年3月に公開された第5.1版に次ぐもので、近頃のサイバー攻撃の増加と多様性を考慮して僅か1年での改訂となっています。主な改訂箇所は以下の通りです。
1. ランサムウェア対策
- ランサムウェアによる攻撃への対応としてのバックアップのあり方等の対策
- 被害に遭った際の備えとして、 医療情報システムに関する 全 体構成図(ネットワーク構成図、システム構成図等)、及びシステム責任者一覧(設置事業者等含む)を整備について
2. アプリケーション間の安全性確保
- 外部アプリケーションとの連携における利用者の認証・認可について
3. 医療システムの安全管理
- BYODの安全管理下での利用について
- 外部ネットワークを利用する上での医療機関が負うべき管理内容
4. 電子署名について
- 文書の作成者に資格が必要な場合に求められる署名についての要件
- 法令改訂に伴う電子署名のありかたについて
- 電子署名のアルゴリズムについて
- 外部保存を行う際の業者の選定基準の変更
不正ソフトウェア(コンピュータウィルス・マルウェア)対策
ガイドラインでは不正ソフトウェア対策として最も効果的なのは、アンチウイルスソフトであるとしています。アンチウイルスソフトはほとんど全ての方が利用されていると思います。
サイバー攻撃の多くはインターネットが入口になりますのでウェブサイト閲覧やメール利用時のウイルス対策をしっかり行うことが不正ソフトウェア対策の鉄則です。しかし、アンチウイルスソフトだけで不正ソフトウェア対策できるわけではなく、不正ソフトウェア対策のガイドライとして16の項目が提示されています。
その一つとして「メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれるデータやファイルの送受信禁止、又はその実行停止の実施、無害化処理を行うこと。なお、保守等でやむを得ずファイル送付等を行う場合、送信側で無害化処理が行われていることを確認すること。」を最低限のガイドラインとしています。さらに「情報の区分管理を実施し、区分単位でアクセス管理を実施すること。」が推奨されるガイドラインとして示されています。
このコラムでもエモテットによる医療機関の被害事例について取り上げていますが、エモテットはメールに添付されたエクセルやワードのデータやファイルに紛れて感染します。
ガイドラインが改訂されたこのタイミングで、院内の医療情報セキュリティを見直し、サイバー攻撃から病院や患者情報を守るための対策を強化してください。
「AXISスマートブラウザ」はコンテナ技術でパソコンの中に仮想的に安全な環境を作り、その中でChromeやEdge・Firefoxなどのブラウザを起動させるインターネット分離ソリューションです。さらに、インターネットサイトやメールで入手した情報やデータを安全に活用するための無害化機能も搭載しています。
- 月額1,980円(税込)、初期投資0のリーズナブルな料金
- 専用ソフトをPCにインストールするだけで利用可能、導入や運営のためのIT要員は不要
- 無害化処理やウィルスチェック機能は標準搭載