税理士法人エム・アンド・アイ

IT化が進むなかでサイバー攻撃から医療機関を守るには

23.06.06
業種別【医業】
dummy
ここ数年で、日本ではサイバー攻撃による被害が急増しています。
主にターゲットとなるのは、一般企業と医療機関です。
電子カルテやオンライン診療などの導入が進むなか、病院や診療所でもサイバー攻撃によるシステムダウンなどが発生しています。
これらのシステム障害によって、手術ができなくなってしまったり、外来受付を停止せざるを得なかったりといったケースも報告されています。
サイバー攻撃から医療機関を守るためのセキュリティ対策について考えていきましょう。
dummy
増え続ける医療機関へのサイバー攻撃

警察庁が発表した広報資料『令和4年におけるサイバー空間をめぐる脅威の情勢等について』によると、2022年に警察庁に報告されたランサムウェアによる被害件数は230件で、前年と比べて57.5%も増加しました。

日本のサイバー攻撃は2020年から増加傾向にあるうえ、企業や団体の区別なく行われており、市民のライフラインでもある医療機関にも被害が及んでいます。

そもそもランサムウェアとは、悪意あるソフトウェアを意味する『マルウェア』の一種です。
マルウェアは、ファイルを勝手に暗号化やロックなどで使用不能にし、そのファイルを使用可能にするのと引き換えに金銭を要求する身代金要求型の不正プログラムを指します。

各地の医療機関では2017年頃からランサムウェアによるサイバー攻撃が相次いでおり、システムが不安定になったり、個人情報が流出したりといった被害が出始めました。
近年は、電子カルテを筆頭にオンライン診療や会計システムなど、医療のIT化が急激に進んでいます。
サイバー攻撃はそうしたアナログからデジタルへの転換期にある医療機関の穴をついたものといえるでしょう。

電子カルテの普及率は2020年の時点で、一般病院で57.2%、一般診療所で49.9%です。特に、病床数が400床以上の病院では91.2%にも及んでいます。

もし、サイバー攻撃を受けて電子カルテなどにつながっている院内のネットワークシステムがストップすれば、手術や外来受付も止まってしまう可能性が高く、通常の対応ができなくなってしまいます。

また、電子カルテには患者の個人情報が詰まっており、サイバー攻撃によって情報の流出が起きてしまった場合、診療に影響を与えるだけではなく、多くの患者からの信頼を失いかねません。


医療機関における効果的なセキュリティ対策

患者の生命や健康を守る医療機関では、適切なセキュリティ対策が求められます。
では、サイバー攻撃を防ぐためには、具体的に何をすればよいのでしょうか。

重要なのは『技術的な対策』と『人的な対策』の両方を行うことです。

技術的な対策として特に優先すべきは、電子カルテにつながるVPN機器のセキュリティ対策です。
ランサムウェアによるサイバー攻撃は、VPN機器からの侵入がほとんどで、感染経路を調査した警視庁によるアンケートでも、被害にあった全体の62%がVPN機器から侵入されていました。

VPN機器とはVPN接続に必要な機器のことで、VPNとはインターネット上に仮想の専用線を設け、離れた拠点間をスムーズに通信できるようにする仕組みのことです。
情報を比較的安全にやり取りできるVPNですが、状況によってはセキュリティが万全ではないこともあり、過去の事例ではVPN機器の脆弱性を狙われ、そこから侵入されていることがほとんどでした。
VPNのセキュリティ対策には、ネットワーク上の不審な動きを検知する『ネットワーク監視ツール』や、関係者のみがネットワークに接続できる『認証システム』の導入などが効果的です。

ランサムウェアの侵入を感知するウイルス対策ソフトも有効ですが、ソフトを常にアップデートし、最新の状態にしておかないと侵入を許してしまうことになるため注意が必要です。

また、人的な対策としては、ネットワークシステムの適正な運用管理が重要になります。
2022年11月に大阪の医療センターで起きたサイバー攻撃被害では、スタッフがパソコンを使用するためのパスワードがすべて同じで、電子カルテのサーバーにアクセスするためのIDやパスワードも使い回されていたことがわかっています。
ずさんなシステム運用が被害拡大の要因となっており、医療センター側はセキュリティ対策強化の取り組みに追われています。

このように、誰でもパソコンやサーバーにアクセスできるようにするのではなく、管理者権限の設定や運用方法の規定などを設け、適切かつ慎重にシステムを運用管理することが大切です。
あわせて、バックアップの作成やファイアウォールの設定、スタッフへのセキュリティ教育の徹底なども見直すことをおすすめします。

医療業界のIT化はますます加速していくことが予想されます。
技術と人の両面から、セキュリティ対策を行っていきましょう。


※本記事の記載内容は、2023年6月現在の法令・情報等に基づいています。