日本国内では、サイバー攻撃の巧妙化と被害の拡大が進んでおり、医療機関も例外ではありません。2021年10月、徳島県のつるぎ町立半田病院がランサムウェア感染の被害を受け、2022年10月には大阪急性期・総合医療センターも同様の被害に遭遇しました。

この2つの事例は、医療の安全性や経営に大きな影響を与え、医療機関におけるサイバーセキュリティの重要性を浮き彫りにしています。

インシデント発生前の準備不足が招いた課題

セキュリティ対策に対する意識

両病院では、日常的にサイバーセキュリティの重要性を認識していたものの、具体的な対策やリテラシーが十分ではありませんでした。大阪急性期・総合医療センターでは、内部の会議でサイバーセキュリティが議題に上がることはあったものの、職員への周知や詳細なリスク評価が不十分で、「USBの使用に注意する」といった表面的な対策に留まっていました。

つるぎ町立半田病院では、一部の端末にウイルス対策ソフトが導入されていない状況や、患者が持参したUSBにデータを保存する慣例が存在しており、電子カルテが外部機器と接続されるリスクが軽視されていました。また、厚生労働省からのサイバーセキュリティ注意喚起を見落としていたことも、被害を拡大させる要因となりました。

準備不足がもたらした影響

感染発覚時、どのように対応すべきかが分からず、被害拡大を防ぐ初動対応が遅れました。また、サイバー攻撃が院内全体に及び、復旧までに2か月もの時間を要する事態となりました。電子カルテが停止し、紙カルテへの移行を余儀なくされた現場では、診療記録の不備や職員間の連携不足が混乱を招きました。

おすすめウェビナーのご紹介!

このセミナーでは、医療機関が直面するセキュリティ上の脅威と実際に発生した被害事例について解説します。
また、これらのリスクを軽減するためのセキュリティガイドライン(厚生労働省)の概要と、医療機関が実践すべき具体的な対策を説明します。
医療機関におけるサイバーセキュリティの重要性を株式会社アクト ITビジネスソリューション本部 ソリューション営業部 フィールドセールス 浅井健之が解説します。

アジェンダ
  1. 医療機関の被害事例
  2. セキュリティガイドラインの概要説明
  3. チェックリストと具体的な対応ソリューション
  1. 開催形式
    オンライン/録画配信
  2. 登壇者
    株式会社アクト ITビジネスソリューション本部 ソリューション営業部
    フィールドセールス 浅井健之


インシデント発生時の対応とその影響

半田病院の場合

つるぎ町立半田病院では、深夜にプリンターから自動的に英文が印刷され始めたことから異変が発覚しました。当直医からシステム担当者へと連絡が入り、感染拡大を防ぐためにケーブルを抜くなどの初期対応が行われました。その後、災害対策本部を設置し、災害時の紙カルテ運用マニュアルを活用して診療を継続しましたが、外部ネットワークとの接続状況や他医療機関への影響を懸念し、多方面への連絡に追われました。

大阪急性期・総合医療センターの場合

大阪急性期・総合医療センターでは、早朝にシステムの異常が確認され、幹部を招集して災害対策本部を設置しました。電子カルテをはじめとする基幹システムが停止したことで、紙カルテ運用に切り替えると同時に、周辺の医療機関との連携を図るなど、地域医療体制の維持に尽力しました。

経営面への影響

両病院では、診療報酬の請求がシステム停止中はできず、キャッシュフローが悪化しました。特に半田病院は地方の基幹病院であり、近隣医療の供給停止は地域住民にとって大きな問題となりました。診療の再開にあたっては、早急に一部機能を復旧させる工夫が求められました。

事例から学ぶ今後の対策

初動対応の重要性

両病院の経験から、サイバー攻撃発生時の初動対応が被害を最小限に抑える鍵であることが分かります。感染を早期に検知し、ネットワークから切り離す手順を徹底するための訓練や、職員全員が異常を報告しやすい環境作りが必要です。

職員のリテラシー向上

システム担当者だけでなく、全職員にサイバーセキュリティ教育を施すことが不可欠です。具体的には、USBデバイスの取り扱いや外部ネットワーク接続の注意点を共有し、厚生労働省のガイドラインに基づいた教育プログラムを定期的に実施することが求められます。

データのバックアップと運用の見直し

データのバックアップは、オフライン環境で安全に保管することが重要です。また、電子カルテの一部機能が停止した際にも診療を継続できる簡易システムを整備するなど、リスク分散の仕組みを導入する必要があります。

外部の専門家との連携

大阪急性期・総合医療センターでは、外部委員会を通じて詳細な報告書を作成し、システム改善に役立てました。同様に、医療機関は専門家やセキュリティ企業と連携し、定期的なセキュリティ診断や助言を受けるべきです。

経済的支援と法整備の必要性

医療機関がセキュリティ対策を強化するには、多額の費用が必要です。地方の小規模病院では、国や自治体による経済的支援や、共通のセキュリティ基準に基づいた法整備が不可欠です。自動車検査制度のような仕組みを導入し、定期的なセキュリティ検査を義務化することも一案です。

医療機関だけでなく、社会全体での危機感の共有を

サイバー攻撃は、医療機関のみならず社会全体に影響を及ぼします。電子カルテの共通化や医療DX(デジタルトランスフォーメーション)の進展に伴い、セキュリティの重要性はさらに増すでしょう。

今回の事例は、セキュリティ対策が不十分な場合に起こりうる最悪の事態を示しています。関係者全員が危機感を持ち、迅速な対策を講じることが求められます。

本記事が、医療機関を含むあらゆる組織でのセキュリティ対策強化を検討するきっかけとなれば幸いです。

Post Views: 48