厚生労働省の今年度の医療機関への立入検査の重点項目に、サイバー攻撃への対策についての確認が新たに追加されています。サイバー攻撃については医療機関も例外ではなく、「自院には関係ない」と他人事ではなくなってきています。今回は医療機関へのサイバー攻撃とその対策について解説したいと思います。
日本国内におけるサイバー攻撃の脅威の高まり
令和3年に検知した通常では想定されないアクセスの件数は、平成29年と比較して約4倍に増加しています。また、大企業や中小企業などの企業規模に関係無くサイバー攻撃を受けていることから、大規模な総合病院も個人開業のクリニックも、サイバー攻撃をいつ受けてもおかしくない状況であると考えられます。
引用:警視庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について
医療機関における事例
医療機関には以下のような情報が存在するため、サイバー犯罪者の標的になりやすいと考えられます。
・医療情報
・クレジットカード等の金融情報
・健康保険証の番号 等
特に、健康保険証の番号等変更が困難な個人情報は継続利用が可能なために狙われやすく、他の業種と比較してもリスクは高いと言えるでしょう。
具体的なものとして、下記の事例が医療機関に実際に起きたものとして報告されています。いずれも国内の病院で、電子カルテ等の機器がランサムウェアに感染した事例です。
※ランサムウェアとはウイルスの一種で、PC やサーバが感染すると、端末のロックや、データの暗号化が行われ、その復旧と引き換えに金銭を要求されます。また、重要な情報が窃取されることもあり、社会的信用を失うおそれがあります。さらに、復旧に時間が掛かる場合、更なる経済的損失につながるおそれもあります。
※いずれも金銭の要求には応じていないとのことです。
引用:
日本経済新聞 身代金払わず2億円で新システム 徳島サイバー被害病院
朝日新聞 サイバー攻撃受けた徳島・半田病院 約2カ月ぶりに通常診療全面再開
NHK あなたの病院の「感染」対策は大丈夫?~問われる医療機関のセキュリティー~
いずれも手書きのカルテの作成などの対応に追われ、診療業務に影響を与えていることがわかります。また、上記の損害額は新たな電子カルテシステムの導入などの復旧に要した金額となります。このほかに患者への損害賠償金が発生したり、復旧までの間に診療を停止した場合は喪失利益が発生する可能性があります。
今後の対策
情報セキュリティ対策は基本が大事です。さまざまな種類の脅威が存在しますが、攻撃の糸口は脆弱性を突く、ウイルスを使う、ソーシャルエンジニアリングを使うなど似通っています。そのため、基本となるセキュリティ対策を怠らないようにしましょう。
基本となるセキュリティ対策
(1)ソフトウェアを最新の状態にする
(2)セキュリティソフトを利用する
(3)パスワード管理・認証を強化する
(4)システムの設定を再確認する
(5)脅威の手口、情報を更新する
より詳しく知りたい方は、下記ブログも参照してください。
『情報セキュリティ10大脅威 2022』発表! 会社を守るために今、すべきこととは?
また、サイバー攻撃を受けた時の備えとして、先述の損害額や損害賠償金などを補償する保険へ加入するのも有効な対策と言えるでしょう。情報の漏えいに対する補償のみならず、サイバー攻撃まで補償内容を拡大したサイバー保険が販売されていますので、検討してみてはいかがでしょうか。
サイバー攻撃は自院が直接被害を受けるだけではなく、患者や取引先に迷惑がかかったり、自院の信用が失墜してしまう恐れがあります。事前対策を講じて、システムやネットワークの環境を整備し、脅威からクリニックを守る体制づくりを進めていきましょう。
