近年、医療機関を標的としたサイバー攻撃が増えています。万一サイバー攻撃を受けてしまうと、患者情報の漏えいをまねいたりシステムに支障をきたしたりするだけでなく、診療業務そのものがストップすることにもなりかねません。こうしたサイバー攻撃に対し、医療機関はどのような対策が求められているのでしょうか。医療機関におけるサイバー攻撃による影響と、求められる対策についてまとめました。

医療法施行規則改正により、サイバーセキュリティ対策が義務に

医療機関に対するサイバー攻撃は、近年ますます増加傾向にあります。2022年10月には大阪の急性期病院がランサムウェアによるサイバー攻撃を受けて電子カルテなどのデータにアクセスできなくなる被害が発生し、一時的に救急や新規の外来患者の受け入れなど多くの診療業務を停止する事態となりました。最終的に同センターがバックアップデータをもとにシステムを復旧し、外来診療を再開するまでには2ヶ月の時間を要しています。さらに調査委員会が2023年3月にまとめた報告書では、調査復旧費用として数億円、また診療業務の停止による逸失利益として十数億円以上にのぼる被害が出たと推計されています。

こうした事例は国内、国外を問わず決して珍しいものではありません。2020年にはサイバー攻撃を受けたドイツの病院が急患を受け入れられず、患者が死亡する事態も起きています。

こうした現状を受け、厚生労働省は2023年3月10日に医療法施行規則の一部を改正する省令を公布し、全国の病院や診療所、助産所を対象にサイバーセキュリティ確保のため必要な措置を講じることを義務付けました。この改正医療法はすでに2023年4月1日から施行されています。

このサイバーセキュリティ確保のための「必要な措置」について、厚生労働省は2022年3月に健康・医療・介護情報利活用検討会医療等情報活用ワーキンググループでの検討をもとに策定した「医療情報システムの完全管理に関するガイドライン」を参照するよう示しています。このガイドラインは平常時の医療情報システムの運用や保守だけでなく、安全管理の基本的な方針や責任のあり方、また実際にサイバー攻撃を受けた場合の対応までを含めた、より高い実効性を求めるものとなっており、厚生労働省は今回の改正医療法に関して、このガイドラインを参照して適切なセキュリティ対策を行うよう求めています。

近年の医療機関をターゲットとしたサイバー攻撃では、データやシステムが被害を受けるだけではなく、診療業務そのものに支障をきたしたり、患者の命を脅かしたりする事態が実際に発生しています。こうした事態を受け、医療機関におけるサイバーリスク対策の重要性はますます高まっているのが現状といえるでしょう。

医療機関を狙ったサイバー攻撃の種類

サイバー攻撃と一口に言ってもその手口はさまざまです。一般的にはフィッシング詐欺などの手口が有名ですが、これらはいずれも個人を標的にするケースが多く、医療機関がターゲットにされることは稀です。医療機関を狙った手口として特に知っておきたいものには、以下の2つのような手口があります。

ランサムウェア

ランサムウェアはマルウェア（悪意のあるソフトウェア）の一種で、ユーザーのデータ（医療機関においては患者情報や電子カルテのデータなど）を暗号化してアクセスできなくする手口です。この暗号化したデータを人質として、データの回復のために身代金を要求するケースが多いことから「身代金要求型ウイルス」とも呼ばれます。ランサムウェアによる攻撃を受けると患者情報や電子カルテのデータにアクセスできなくなるため、診療業務そのものがストップするケースもあります。

Emotet（エモテット）

Emotetはメールを経路としたサイバー攻撃の手口です。攻撃者は院内スタッフや取引先など関係者になりすまして不正ファイルを添付したメールを送信し、受信者はそれに気づかずファイルを開いてしまうことで感染します。こうした不正ファイルは業務上必要なファイル（主にWordやExcel形式など）を装っていることが多く、受信者は不正メールであることに気づかずEmotetに感染し、患者情報が盗まれたり別の不正プログラムに感染したりするケースが相次いでいます。

医療機関におけるサイバー攻撃の影響

医療機関がサイバー攻撃を受けた場合、具体的にどのような影響が出るのでしょうか。特に医療機関が注意するべきは以下の2種類のタイプの攻撃者です。

• 金銭窃取を目的とする者
• 情報窃取を目的とする者

例えば前述の大阪の急性期病院では、ランサムウェアの攻撃により電子カルテなどのデータが暗号化され、その後に「復元したければビットコインで身代金を支払え」といった脅迫文が画面に表示されました。このケースは金銭窃取を目的とした典型的な例といえますが、仮に要求に応じて身代金を支払ったとしても、犯人がデータを復元するという保証はありません。

医療機関は情報窃取を目的とする攻撃者にも狙われやすいことに留意する必要があります。医療機関が取り扱っている診療情報や病歴などの患者情報は、個人情報保護法において特に取り扱いに注意が必要な「要配慮個人情報」として位置づけられています。クレジットカードやマイナンバー情報のように、書き換えや再発行ができる種類のものではなく、情報窃取を目的とするサイバー攻撃者の視点に立ってみると、悪用しやすい情報であるという側面があります。

また、犯人の目的は金銭や情報であるとしても、実際にサイバー攻撃を受けた場合の影響はそれだけにとどまりません。特に近年は電子カルテを中心にさまざまなシステムが連携していることが多く、一つのシステムが使えなくなると広範囲に影響が及ぶ可能性があります。患者の識別や投薬情報、予約、会計などのシステムが機能不全に陥れば、新規患者の受け入れができなくなるばかりか病院の運営そのものに支障をきたします。復旧に時間がかかり、その間の診療業務がストップしたり制限されたりしてしまえば、地域医療の崩壊にもつながりかねない事態となるでしょう。

医療機関に求められるサイバーリスクへの対応策

サイバーリスクへの具体的な対応策を考えるうえでは、厚生労働省が現在取りまとめている「医療機関のサイバーセキュリティ対策チェックリスト」が重要な指針となります。このチェックリストは前述の「医療情報システムの完全管理に関するガイドライン」を踏まえた内容となっており、「体制構築」「情報システムの管理」「情報システムの運用」「インシデント発生時の対応」の4つの観点から、医療機関が優先的に取り組むべきことがまとめられています。

【出典】サイバーセキュリティの確認のためのチェックリスト | 厚生労働省

医療機関におけるサイバーセキュリティの確保を実現するためには、アカウントの管理やアクセス制限といったシステムの運用スキームを改善するだけでなく、安全を確保できるような体制の構築や、万一インシデントが発生した際の対応までを含めた包括的な取り組みが必要です。

病院経営においてサイバーリスク対策は直接的に収益を生むわけではないため、プライオリティは低くなりがちです。しかし、万一サイバー攻撃を受けてしまうと、電子カルテのデータにアクセスできなくなったり、診療業務そのものがストップしたりする事態になりかねません。

また、診療業務ができないことによる被害だけでなく、信用失墜による病院経営への影響やシステムの復旧・調査にかかる費用までを考えると十数億円規模の被害が出ることも珍しくなく、またその地域の医療体制にも大きな影響を与えることになります。こうしたとり返しのつかない事態にならないよう、患者の命を預かる医療機関は常に最新の情報を集め、サイバーセキュリティ確保に務めることが求められています。

医療機関にとってサイバー攻撃は重大な脅威に

医療機関がサイバー攻撃を受けてしまえば、患者の命を脅かしたり地域医療の崩壊をまねいたりする事態になりかねません。他業種に比べると社会へのインパクトも大きく、また被害も甚大になることから、ターゲットにされやすい存在と言えるでしょう。医療機関は常にそのことを意識し、サイバー攻撃に対して常に警戒を怠らず、セキュリティ対策を強化し、サイバーセキュリティ対策の強化に務める必要があります。