近年どのような企業にもサイバー攻撃の被害が急増していて、医療機関においても被害の報告が相次いでいます。昨今のサイバー攻撃の手法は巧妙化・標的化が進み、深刻な脅威にさらされています。医療機関の場合、患者様のカルテや個人情報、病歴など非常にセンシティブなデータが保管されているため、以前にも増して情報セキュリティ対策には本腰を入れて取り組む必要があります。

サイバー攻撃被害の急増により、2023年4月に医療法規則の一部改正で医療機関や助産院の管理者に向けてサイバーセキュリティ対策が義務化され、「医療情報システムの安全管理に関するガイドライン」も現状に沿った対策をおしすすめるためのメソッドに書き換えられました。

以前は、紙のカルテを保存する医療機関が大半でしたが、大量のデータを取り扱い、効率的に治療や医療関連事務を行うことや、データ共有もデジタルデータの方が簡便であることなどから、医療機関のデータもデジタルで管理されるようになりました。それと同時に増加しているのが、医療機関の情報漏洩です。

医療機関におけるセキュリティインシデントの要因

医療機関のセキュリティインシデントの要因で考えられるのは、医療機関内部の職員による不注意やミス、故意のデータ持ち出しなどの内部要因と、診療予約システムや各種データ連携システムなどを開発する委託先の不注意やミス、故意のデータ持ち出しの他にサイバー攻撃によるデータ流出などが考えられますが、昨今急激に絶対数が増えていて、最も注意すべきは、「外部からの攻撃」です。

外部からの攻撃で特に増えているのが、「ランサムウェア」による攻撃です。医療機関内のデータを暗号化して使用できなくし、身代金を要求するタイプのウイルスが「ランサムウェア」です。診療に支障が出るからと、言われたとおりに仮想通貨などで身代金を支払ったとしても、データが元通りになるとは限りません。

電子カルテサーバーに攻撃されないためには、適宜生じた脆弱性にパッチをあてる必要があり、組織内で行うのが難しければ、セキュリティ専門業者に依頼し、定期的に脆弱性の有無をチェックしてもらうことをおすすめします。医療情報システムの安全管理に関するガイドラインを遵守し、定期的に外部監査を実施することも有効です。医療機関と連携する委託先のシステム事業者にも、医療機関のセキュリティ管理部門と同様のセキュリティマニュアルを共有し、徹底してもらう必要があります。