医療機関のサイバーセキュリティについて

　2023年4月に「医療法施行規則」が一部改正されました。医療法施行規則は「医療法」に基づいて、病院や医療機関の開設や管理などについて定めた規則です。

　厚生労働省大臣官房の2023年3月10日付け通達「医療法施行規則の一部を改正する省令について」によると、特に大きな変更点は、サイバーセキュリティの確保を義務化する規則第14条第2項の新設です。この改定で、医療機関は「医療情報システムの安全管理に関するガイドライン」を参照し、適切な対応を行うことが求められました。

　2023年5月、厚生労働省は「医療情報システムの安全管理に関するガイドライン」を第6.0版に改定しました。第6.0版では、先述した医療法施行規則の第14条第2項を前提に、医療機関の管理者が実施すべきサイバーセキュリティ対策について述べられています。

　医療機関には、これまでもセキュリティ体制の強化が求められてきました。しかし、今回の改正では、従来のような形式的なものではなく、実効性のあるものが必要になったということです。

　しかしながら、医療現場においてはなかなかサイバーセキュリティ対策は進んでおりません。その主な理由として

1. 医療機関側の運用体制が整っていない
2. 医療機関特有の理由でセキュリティの導入ができない
3. 閉じたネットワークが想定されている
4. 間違った認識が広がっている

以上のようなことがよく見受けられます。

　最近は、従来の閉域網ネットワークによる医療システムだけではなく、クラウド型の医療システムも利用されるようなり、その多くがベンター（システム提供者）側でセキュリティ対策を講じています。

　しかしながら、システム担当者やセキュリティへの認識不足によりパスワードやアクセス権限を適切に設定していなかったり、スタッフへのセキュリティ教育が十分に行われていなかったりすることが多々見られます。

　また、仮想の専用ネットワークを構築する「VPN」の脆弱性の放置や、把握していない「VPN」ネットワークの存在、既存システムの稼働を優先して、肝心のセキュリティソフトを停止するなど、不適切な運用が行われていることもあります。

「対応が難しい」「コストがかかる」「今すぐ必要はない」「何が必要かわからない」などの理由で、サイバーセキュリティ対策から目を背けている医療機関もあります。

　既存のシステムが、院内もしくは部門内で完結する、いわば「閉じたネットワーク」で想定されて構築・運用されているケースもあります。そもそも閉域網だから安心だと思っている医療機関もまだ存在しますが、メンテナンスや地域医療連携のGW等、外部と接続するタイミングもあり、一旦侵入すされると閉域網だからこそ被害が拡大する傾向にあります。

　また、近年では医療のDX化を進める上でネットワークの開放はまったなしです。その際に外部と内部を繋ぐ際のセキュリティ対策が後回しになり、その結果として医療機関のインシデントが増えているのが現状です。

　医療機関の中でもDX化の流れの中で、積極的にクラウドサービス等を利用し運営しているところも増えています。その際、クラウドの電子カルテシステムやAWS等のクラウドサーバーを活用している医療機関では、「クラウドサービスを利用していれば安全」という認識が広まっているのも事実です。

　実際に目を向けてみると、クラウドサービス自体がサイバー攻撃によってストップしてしまう事案や、ID管理不足により、クラウドサーバー内のデータが不正アクセスを受けるインシデントも増えています。

　あくまで、クラウドは丈夫な金庫であり、その鍵のセキュリティ対策は医療機関自身が講じなくてはいけません。

　以上のことを踏まえ、医療機関におけるサイバーセキュリティ対策のポイントをいくつか挙げてみましょう。

• ソフトウェアの更新やパスワード設定の管理→無料 or システムの導入による対策（PW管理サービス）
• システムやネットワークのアクセスを制御の厳格化→無料 or システムの導入による対策（ID管理サービス）
• インシデント発生時の対応体制の構築→無料 or システムの導入による対策（BCPの策定・サイバー保険）
• オフラインでのバックアップ→一部投資が必要（3-2-1の原則）
• 医療従事者や職員への教育の徹底→無料 or 有料セミナーや標的型メール対策サービスの利用
• クラウド型の医療システムの導入→投資が必要（電子カルテやサーバー）
• 外部セキュリティ専門家の活用→投資が必要（MDRやADサーバー監視サービス）

　詳細は省きますが、無料で当たり前にできることと少し投資が必要な部分にわかれます。弊社では上記の対策それぞれについて無料でアドバイスを行っておりますので、お気軽にお問合せ下さい。