リハビリ管理システムでは多くの個人情報を取り扱います。それら個人情報を保護し安全に活用するためには、セキュリティ対策が必要です。どのような方法があるでしょうか。有効なセキュリティ対策には以下のようなものがあります。
ファイアウォールは一般的なセキュリティ機能の一つです。外部ネットワーク(インターネット)を通じた不正アクセスやサイバー攻撃から内部のデータを保護し、事前に設定したルールに逆らって侵入しようとする通信をブロックします。院内ネットワークのセキュリティ対策に欠かせない機能です。
認証システムは、ネットワークへのアクセス制御を行うセキュリティ機能です。ID/パスワードなどログイン情報を基にアクセスユーザーの識別・照合を行い、ログイン時にユーザーの正当性をチェックします。不審なアクセスと判断した場合は、ログインを阻止できます。
VPNは仮想専用線と呼ばれるインターネット回線の一種です。昔からある専用線とは異なり、一般のインターネット回線を使用しながら、従来の専用線と同じ機能を持った回線を提供することができます。仮想ですが、機能的には専用線であるため、一般のインターネット回線と比べてセキュリティの強化が可能です。
文字通りインターネット上に発生したウイルスの侵入・感染から、ネットワーク内のコンピューターやデータを保護する役割を担うアプリケーションです。ウイルスに感染しないよう予防対策ができるほか、万が一感染した場合でもウイルスを駆除できます。セキュリティ対策の定番です。
データバックアップは、データの紛失・破損・盗難など万が一の事態に備えるセキュリティ対策です。既存の保存場所とは別のメディアに同じデータを保存し分散保管することで、不測の事態が起きても、バックアップデータを用いた既存データの復旧・復元ができます。万が一のデータ消失が起きることを前提に行うセキュリティ対策です。
近年、民間企業のみならず、医療機関への攻撃が世界中で相次いでいます。
ここでは、日本の医療機関が実際にサイバー攻撃に遭った事例をご紹介します。
徳島県にある町立病院で、患者の診察や投薬の記録、X線画像など、個人情報が記された電子カルテ8万5,000人分の情報がサイバー攻撃によってハッキングされました。
「あなたたちのデータは盗まれ、暗号化された」という文書が送り付けられてきたと同時に、電子カルテが使えなくなっていることが判明。
さらに、院内のサーバーのデータがバックアップ用も含めてほぼ暗号化され、受付から診察、会計まですべての電子システムがダウンしてしまいました。
病院にサイバー攻撃を行ったのは、国際的なハッカー集団「Lock Bit2.0」によるもの。攻撃には、身代金要求型ウイルス「ランサムウェア」が仕組まれており、暗号を解除して欲しければ金を払うように要求するものでした。
予約状況や患者の個人情報が全く分からなくなったため、現場は大混乱に陥ります。
受付時には名前や生年月日、住所などの把握から全て手作業で行わなくてはならず、2時間経っても診察できない状況になってしまいました。
システム構築の際に、サイバーテロを想定していなかったことが原因と言われています。
参照元:NHK サイカルジャーナル|病院がサイバー攻撃を受けたとき 消えた電子カルテの衝撃(https://www3.nhk.or.jp/news/special/sci_cul/2021/11/special/story_20211119/)
大阪市にある医療センターも、身代金要求型ウイルス「ランサムウェア」によるサイバー攻撃を受けました。院内の電子カルテシステムに障害が発生。
300台ある電子カルテ端末のうち、バックアップとして保管していたデータを使って21台は利用できるようになりましたが、ほとんどが機能しない状態となり、紙のカルテを作成するなどの対応を余儀なくされました。
訪れた患者も問診票をはじめから書かなければいけないなど、診察してもらうまでにも時間を要しています。
新規患者の受け入れもできなくなってしまったため、システムの全面復旧に向けて、専門家による作業が今も進められているそうです。
ランサムウェアは、ネットワークの脆弱性や関連企業・取引先に攻撃を仕掛ける「サプライチェーン攻撃」などを通じて侵入します。
万が一に備えて、オフラインでバックアップをとる、紙のカルテでの対応訓練を行うなど、日頃から攻撃を想定した対策を講じておくことが大切です。
参照元:NHK 関西のニュース|サイバー攻撃から3週間 大阪の病院 外来など多くの診療停止(https://www3.nhk.or.jp/kansai-news/20221121/2000068429.html)
万が一のサイバー攻撃や個人情報流出に対し、医療機関はどのようなセキュリティ対策を講じておく必要があるのでしょうか。
厚生労働省が通達した注意喚起によると、以下の対策を行えば、サイバー攻撃による被害を最小限に食い止められるといいます。
上記で紹介した大阪の事例では、病院の調理を委託していた事業者のシステムを経由して院内のシステムに侵入されたことが分かりました。
医療機関自身のシステムだけでなく、サプライチェーン全体のセキュリティ管理体制を確認し、ネットワーク接続点の脆弱性を対策することが重要です。発生が予見されるリスクを自院でコントロールできる体制づくりが求められます。
IoT機器を含む情報資産の保有状況をすべて把握しましょう。また、ネットワークのパスワードは使いまわさず、複雑なものに変更します。不要なアカウントは削除して、アクセス権限を確認しましょう。
VPN装置を含むインターネット接続制御のゲートウェイ装置の脆弱性は、攻撃に悪用される可能性が高いです。最新のファームウェアや更新プログラムなど、セキュリティパッチを適用し、悪用が報告されている脆弱性については、ログの確認やパスワードの変更など、開発元が推奨する対策を講じます。
また、メールに添付されているファイルを不用意に開かない、URLを不用意にクリックしないなどの心がけも基本です。不審なメールが届いたらすぐに連絡や相談を行い、組織内の誰も開かないよう周知します。
攻撃された形跡がないか、インシデントを早期に検知する取り組みも大切です。大量のログイン失敗の形跡や不審なサイトへのアクセス形跡がないかなど、サーバーなどの各種ログを確認して、アクセスコントロールを再点検しましょう。
「サイバー攻撃によってシステムに重大な障害が発生した」と万が一を想定して、事業が継続できるよう備えておくことも大切です。データの消失に備えてバックアップを実施する、復旧手順を確認するなど、インシデントの発生に迅速に対処できるようにしておきましょう。
自身の医療機関のみならず、外部関係機関への連絡体制を整えておくことも大切です。
ランサムウェアなどのサイバー攻撃を受けたとき、犯罪者から暗号解除の条件として、身代金を要求される傾向にありますが、これらの要求に応じて金銭を支払うことは、犯罪組織を支援してしまうこと同様です。
しかも、金銭を支払ったからといって必ずしもデータが復元されるとは限りませんし、不正に抜き取られたデータの公開や販売を止められる保証もありません。
さらに、一度金銭を支払ってしまうと、再度別の攻撃を受けて、支払い要求を受ける可能性が高まります。犯罪者には金銭を支払わず、別の手段で解決に向かいましょう。
参照元:厚生労働省|医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)※PDF(https://www.mhlw.go.jp/content/10808000/001011666.pdf)
増え続けるサイバー攻撃に備えて、医療機関が取り組める対策をまとめました。
万が一攻撃を受けた際、被害を最小限に抑えられるよう、今すぐできることからはじめましょう。
まずは、自身の医療機関がどの程度の対策を実施できているか、現状を把握しましょう。各システムのセキュリティ対策は万全か、どんなセキュリティソフトを導入しているか、職員のセキュリティに対する意識は浸透しているかなどを再確認して、不足しているセキュリティ対策を見出していきます。
また、今のセキュリティルールを振り返って、インシデントが発生した際に速やかに対応できる体制が整っているかを見直すことも大切です。
厚生労働省は、医療機関に向けて「医療機関のサイバーセキュリティ対策チェックリスト」を公開しています。このチェックリストは医療機関の経営層、システム管理者、医療従事者・一般利用者の3種類に分かれています。
それぞれの立場で働く人のセキュリティ対策が十分に行われているか、全体としてどの部分にセキュリティの弱みがあるかを把握できるためおすすめです。全体チェックから優先的に必要な対策を見出して、適切な対処を行いましょう。
参照元:厚生労働省|医療機関のサイバーセキュリティ対策チェックリスト※PDF(https://www.mhlw.go.jp/content/10808000/000845417.pdf)
サイバー攻撃の多くが、ネットワークの接続点に何らかの脆弱性や抜け穴がある場合に起こります。つまり、第三者による不正なアクセスを防ぐことができれば、被害に遭うリスクを大幅に低減できます。
悪意のある者からの不正なアクセスを防ぐためには、ネットワークのセキュリティ強化が基本です。脆弱性を回避する、侵入しようとするプログラムを素早く検知するためにも、セキュリティソフトは常に最新状態にアップデートしておきましょう。
職員のID管理を徹底する、ネットワークに接続できる端末を制限するなどの対策も効果があります。
外部からの不正アクセスもサイバー攻撃の典型ですが、重大なインシデントは、職員のセキュリティ意識の低下やリテラシー不足によっても起こる場合があります。
例えば、離席時にパソコン画面をロックしない、ログインIDやパスワードを書き写した紙をパソコンに貼り付けているなど、日ごろの業務行動からも、情報を盗み出されるリスクは増大します。
「悪意のある第三者が常に周りに潜んでいるかもしれない」という危機意識もまた重要なのです。
まずは、自身の医療機関全体で職員のセキュリティに対する教育を行い、意識づけを行うことが大切です。セキュリティの重要性を理解してもらい、高いリテラシーを持って業務に取り組んでもらえるよう、定期的なセキュリティ研修などの教育体制を構築しましょう。
いくら使いやすく機能性の高いリハビリ管理システムを導入しても、院内ネットワークのセキュリティが脆弱だと、大事な個人情報が危険にさらされるリスクが高まります。そのため、リハビリ管理システムを導入する際は、システムの機能性と合わせて、セキュリティ対策の在り方についてもしっかりと検討しましょう。
※Googleで「リハビリ管理システム」と検索をして上位表示された電子カルテ・介護用システムを除く21社を調査し、無料デモンストレーション・導入事例・外部システムとの連携・サポート部門が公式HPに記載されている3社を紹介しています。(2021年12月1日時点)