相次ぐ医療機関へのサイバー攻撃 対策ガイドライン改定 厚労省

医療機関へのサイバー攻撃が相次いでいることを受け、厚生労働省は医療機関向けのセキュリティー対策のガイドラインを改定し、公表しました。
データが暗号化されて使えなくなる「ランサムウエア」と呼ばれるコンピューターウイルスによる被害などを想定した対策を新たに盛り込んでいます。

厚生労働省は、医療機関へのサイバー攻撃が相次いでいることを踏まえ、医療機関の情報セキュリティーに関するガイドラインの改定を行い、このほど公開しました。

改定では、データが暗号化されて使えなくなる、身代金要求型のコンピューターウイルス「ランサムウエア」への対策を、喫緊の課題としてあげています。

具体的には、バックアップの取り方について、バックアップのデータまで被害が拡大することのないよう、媒体の種類やとる回数を増やしたり、媒体をネットワークなどから切り離してオフラインで保管することなどをあげています。

また、被害を受けた時に速やかに対策が取れるよう、医療システムに関する構成図や責任者のリストなどを事前に整備しておくことも求めています。

また、外部とのリモート接続が攻撃の入り口になりやすいことから、外部の業者がリモートでシステムのメンテナンスを行う際は、必ずログ=記録をとったり、終了後、医療機関の責任者が確認したりすることなども求めています。

厚生労働省は「医療機関の規模などによってセキュリティーにかけられる予算も違うため、一律に同じ対策を求めることはできないが、それぞれの事情に合わせてさまざまな対策を組み合わせてほしい」と話しています。

サイバー攻撃を受けた病院では大きな被害

ことし1月に「ランサムウエア」によるサイバー攻撃を受けた愛知県の病院がNHKの取材に応じ、復旧に数千万円の費用がかかるなど大きな影響があったことを明らかにしました。

愛知県春日井市にある「春日井リハビリテーション病院」では、ことし1月12日、電子カルテなどを保管するサーバーがサイバー攻撃を受けました。

病院によりますと、午前0時すぎに「電子カルテが突然閲覧できなくなった」と看護師から連絡があり、サーバーを管理するパソコンを確認したところ、画面上に英語で「おめでとう!」というタイトルの文面が表示されたということです。

この中には、英語で「ファイルは暗号化した。復元させたければ金を払え」などと書かれていて、連絡先として相手のメールアドレスも記載されていました。

情報セキュリティー会社に依頼して詳しく調べたところ「ランサムウエア」が使われていたことが分かったということです。

病院では、金銭の要求に応じないことを決めましたが、この攻撃でおよそ5万人の患者の情報が記録された電子カルテにアクセスできなくなったうえ、オンラインで管理していたバックアップデータも暗号化されました。

その結果、入院患者およそ250人のカルテについておよそ1か月にわたって手書きでの対応を余儀なくされたほか、外来患者についてもカルテが閲覧できないため、一人一人に聞き取りをしなければならず、診察の時間が長引くなどの影響が出たということです。

また、病院の会計システムもおよそ1か月間、使えない状態が続きました。

今回のサイバー攻撃では「VPN」と呼ばれる外部接続サービスのぜい弱性がねらわれた可能性が高いということで、病院では新たな電子カルテのシステムを導入して復旧を進めていますが、これまでに数千万円の費用がかかったほか、完全な復旧には、まだ1か月以上かかる見通しだということです。
春日井リハビリテーション病院の大川内敏剛総務課長は「医療機関でランサムウエアによる被害が相次いでいることは把握していたが、まさか私たちの病院が攻撃を受けるとは思っていなかった。患者への影響は最小限に抑えられたものの、病院とスタッフにとっては大きな負担となった。今後はセキュリティーを常に最新の状態にするとともに、患者の情報についてはバックアップデータを複数保管するなど、対策を強化していきたい」と話していました。

相次ぐ医療機関でのサイバー攻撃

身代金要求型のコンピューターウイルス「ランサムウエア」によるサイバー攻撃では、医療機関が被害を受けるケースも相次いでいます。

2018年には奈良県宇陀市の市立病院で患者の一部の診療記録が見られなくなるなどの影響が出たほか、去年は、徳島県つるぎ町の町立病院で電子カルテや会計システムのデータなどが暗号化され、およそ2か月にわたり、産科などを除いて新規患者の受け入れを停止する事態となりました。

専門家「医療機関では一般より高い対策を」

ガイドラインの改定に関わった国立情報学研究所の高倉弘喜教授は医療機関のセキュリティー対策について「医療機関は一日でも機能が止まることは許されず、一般的な対策を超えるレベルの高いものが求められている」と指摘しています。

そのうえで「医療現場では診療機器などのシステムが複雑に連携していて、1つが止まるとどこに波及するか、はっきりとわからないことも多い。ガイドラインを参考に、何から手をつけてどこを解決していくのか。全部一度整理して、順番に対策を講じていくことが求められる」としています。

データのバックアップについては「オフラインでもバックアップを定期的にとることや、データを遠隔地に保管することも求められる」としています。

また、被害の多くが、外部とのリモート接続のセキュリティーのぜい弱性がねらわれた結果だとして「リモート接続のシステムを誰が責任を持って管理・運用しているかしっかりと把握しておくことが重要だ」としています。

厚生労働省は、ホームページに最新のサイバー攻撃の動向やそれに合わせた対策なども随時公開することになっているということで、高倉教授は「日々変わる攻撃に対してどう備えていくか、常に対策を見直していってほしい」と話しています。