昨今、国内の医療機関では、サイバー攻撃を受けたことにより、運営や経営に甚大な被害が生じた事例が相次いでいます。

その要因の1つは、医療機関におけるサイバーセキュリティへの対策不足です。厚生労働省の調査によると、ネットワークの脆弱性対策や、安全性の高いオフラインバックアップデータの作成が不足していることがわかっています。

本記事では、医療機関が実施すべきサイバーセキュリティ対策について解説します。セキュリティ対策を徹底し、院内の安全管理体制を構築しましょう。

義務化されたサイバーセキュリティ

近年、医療機関を標的としたサイバー攻撃が増加しています。警視庁が発表した「サイバー事案の被害の潜在化防止に向けた検討会報告書2023」によると、2021年から2022年にかけて医療・福祉分野で発生したサイバー攻撃の件数は急激に増加しています。

このような事案を踏まえ、2023年3月10日に厚生労働省が発表した「医療法施行規則の一部を改正する省令について」では、病院や診療所、助産所においてサイバー攻撃への対策を含めセキュリティ対策全般について適切な対応を行うことを義務付けています。そのため、医療機関におけるサイバーセキュリティ対策はもはや「やったほうがよい」ものではなく、「確実にやらなければいけない」ものとなっているのです。

病院のサイバーセキュリティに関するインシデント事例

医療機関では、実際にどのようなサイバー攻撃を受けているのでしょうか。ここでは病院のサイバーセキュリティに関するインシデント事例をご紹介します。

電子カルテシステムのウイルス感染事例

ある市立病院の医療情報システムが外部からのサイバー攻撃を受け、ウイルスに感染したことで電子カルテシステムが使用できない事案が発生しました。

ウイルス感染が確認された段階で、院内システム担当者によってシステムの全面停止やネットワークからの物理的な遮断が行われました。しかし、ウイルス対策ソフトの整備不足やデータバックアップの不備、インシデントへの想定不足により、電子カルテが参照できない事態^※に陥りました。
※現在はデータ復旧済み

（参考）
宇陀市立病院コンピューターウイルス感染事案 に関する「報告書」
https://udacity-hospital.jp/wp-content/uploads/2024/05/houkokusyo.pdf

医療機器のウイルス感染事例

ある大学附属病院では、各部門で個別に導入したシステムからUSBメモリを経由して他部門の医療機器にウイルス感染が広がり、院内の診療業務に支障が出る事案が発生しました。

ウイルス検索・駆除ツールを導入した結果、1,000件近くの不正プログラムが確認された機器もあったと報告されています。

（参考）
独立行政法人情報処理推進機構「医療機器における情報セキュリティに関する調査」https://warp.da.ndl.go.jp/info:ndljp/pid/12446699/www.ipa.go.jp/files/000038223.pdf

職員へのメールの添付ファイル開封によるマルウェア感染

ある医療センターでは、職員宛に届いたメールの添付ファイルを開封したことにより不正アクセスを受け、メールボックス内の一部の情報が外部へ流出する事案が発生しました。

本件ではハードディスクやファイルサーバには被害がなかったと報告されていますが、全容が解明するまで閲覧機能が制限され、メールアドレスやそのほかの個人情報が流出した可能性のある全員への連絡を行うなどの対応が求められました。

（参考）
東京都保健医療公社が運用する端末等に対する不正アクセス被害の発生について（第一報）（2019年05月20日）https://www.tmhp.jp/kikou/disclosure/archive_hmt/press/2019/notice20190520-01.html

病院のサイバーセキュリティ対策

病院関係者が実践できるサイバーセキュリティ対策を、医療従事者・安全管理実務者・経営管理者ごとに解説します。院内で実践し、セキュリティ対策を強化しましょう。

医療従事者の取り組み

医療従事者（院内スタッフ）が実践できる主な取り組みは以下のとおりです。

• 電子メール対策

　 不審なメールや添付ファイルは開かない、適宜OSやアプリを更新する。

• 利用する機器に関する対策

　 不正プログラム対策ソフトウェアを常に稼働させる、長期間使用しない場合は電源を落とす。

• 機器やデータの持ち出しに関する対策

 　組織内の安全基準（マニュアル）に則った対応を心がける。

安全管理実務者の取り組み

安全管理実務者が実践できる主な取り組みは以下のとおりです。

• ログの確認

 　サイバー攻撃の兆候（動作が不安定になるなど）を確認する。

• 通信制御の確認

 　院内ネットワークにおける通信の整理が適切に行われているかを確認する。

• 各種システムの更新

 　バージョンアップが適切に行われているかを確認する。

経営管理者の取り組み

経営管理者が実践できる主な取り組みは以下のとおりです。

• 連絡先の整備

 　一般社団法人ソフトウェア協会や厚労省、各種ベンダー担当者の連絡先を把握しておく。

• アカウント整理と使用状況のチェック

 　使用中のアカウント、不要なアカウントを精査し、使っていないものは停止・削除する。

• バックアップの実施状況の点検

 　システムのバックアップが計画どおりに実施されているか確認する。

サイバーセキュリティのインシデントが発生したときは

院内のネットワーク機器や医療機器などに関して、ウイルスへの感染疑いがある場合は、以下のいずれかの方法ですみやかに報告してください。

• 厚生労働省医政局特定医薬品開発支援・医療情報担当参事官室（TEL：03-6812-7837）に連絡する
  
  
• 厚生労働省「医療機関向けセキュリティ教育支援ポータルサイト」のインシデントかも？へ連絡する

サイバーセキュリティ対策を万全にして安全な医療現場へ

サイバー攻撃を受けると、院内の診療業務に支障が出たり、患者の個人情報が流出したりするリスクがあります。日々の診療がストップしてしまうだけでなく、医療機関の信用が下がり、経営への影響が生じることも考えられます。このようなトラブルを避けるためには、日頃からサイバーセキュリティ対策を実践し、ウイルスの感染を防ぐことが重要です。

患者や医療従事者が安心して治療に専念できるよう、セキュリティ対策を徹底し、安全な医療現場を作りましょう。