医療機関を対象とする攻撃は近年増加傾向
厚生労働省もサイバーセキュリティ対策として、「医療情報システムの安全管理に関するガイドライン」を改訂し、このガイドラインに沿った取り組みの必要性を、各医療機関に通達しています。
医療情報システムは、患者の診療情報をはじめとする要配慮個人情報(『「まあ、いいか」「知らなかった」では許されない、個人情報保護ガイドライン』参照)を取り扱うことが多いことから標的にされることも多くあります。
医療機関を対象とする攻撃は近年増加傾向にあり、その脅威は日増しに高まっています。医療機関で利用しているシステムには、サイバーセキュリティ対策に加え、サプライチェーンとの接続状況(保守メンテナンスにおけるリモート保守回線)や、取引先システムのサイバーセキュリティ対策等をも考慮しつつ、必要な対策を講じていくことが求められています。
セキュリティ対策のポイント①サプライチェーンリスク全体の確認
ご自身のクリニックのみならず、サプライチェーン全体を把握し、関係する取引先を含めたセキュリティ対策の実施状況を確認したうえで、関係する取引先とのネットワーク接続点(インターネットとの接続における出入口)をすべて把握する必要があります。
そして、適切な対策が実施されているかを含め確認を行い、必要に応じた最新の脆弱性対策を実施するため、対象となる機器などの情報収集を行う必要があります。
セキュリティ対策のポイント②リスク低減のための各種措置
◆パスワード管理
一般的に各種システムならびにITサービスを利用するに当たり、パスワード設定などの対策を行い利用しているケースが多いですが、パスワードの要件にも注意が必要です。
数字のみのパスワードや桁数の少ないパスワードは簡単に解読されてしまうことから、パスワードは複雑(英大/小/数/記号を含む10桁以上)なものを利用し、モニターに付箋で貼ることやデスクトップ上にテキストで保管することは避けてください。
複雑性だけではなく、二要素認証や生態認証を利用できるサービスも増えておりますので、外部サービスなどの選定時、どういったセキュリティ対策が実施されているかを確認することも有効な手段の一つとなります。
◆アカウント管理
退職者や部署移動などで必要がなくなったアカウントは削除/無効化の対応を適時実施してください。
外部サービスを利用している場合だけではなく、スタッフが利用していたメールアドレスも乗っ取りなどにより被害を受ける事例も多く報告されております。
サイバー攻撃に対する事業継続計画(BCP)の策定
自然災害に対する事業継続計画(BCP)の取り組みは国内でも進んでいますが、サイバー攻撃に対する事業継続計画(BCP)には、まだまだ取り組めていない組織が多い状況です。
サイバー攻撃を受けた場合、
●どのように復旧するべきか
●先的に復旧すべき業務や手順は決められているか
●バックアップデータからのデータ復旧手順は策定されているか
など、検討する項目は多岐にわたりますが、計画を立てて、ひとつずつクリアしていくことで、万が一の非常事態が発生した際にも、焦らず正しい対応が実現できるようになります。
事業継続計画(BCP)の取り組みは、策定することがゴールではありません。定期的な訓練を実施することで、さらに効果を発揮する取り組みとなっていきます。
もしサイバー攻撃を受けてしまったら
ネットワークの一時的な遮断や、機密情報の隔離を行い、速やかに専門機関や監督省庁等の関係機関に対し連絡してください。
そして、サイバー攻撃によって個人データの漏えいまたはその恐れがある場合には、個人情報保護委員会への報告および本人への通知が義務付けられています。
個人情報保護委員会への報告ですが、まず、①速報として発覚日から3~5日以内に速やかに報告すること、次に、②確報(続報)として発覚日から60日以内に報告する必要があります。例えば、ランサムウェアによって電子カルテ等の個人データが暗号化され復元できなくなった場合は、報告義務の対象です。
本人への通知は、事態の状況に応じて速やかに、概要、個人データの項目、原因などの内容を本人にとってわかりやすい方法で行いましょう。通知方法は、電子メールの送信や文書での郵送が原則ですが、本人への通知が困難な場合は、HP等での公表、問合せ窓口の設置のように代替措置を講ずることも可能です。
個人情報保護委員会への報告フォームや漏えい等の対応、資料については、個人情報保護委員会のHPに記載があるので、ぜひこの機会に一度ご確認ください。とくに、漏えい等の報告義務については、前述したサイバー攻撃等の不正目的による漏えいだけでなく、
①要配慮個人情報が漏えいした場合
②財産的被害が生じるおそれがある場合
③1,000人を超える漏えいが発生した場合
上記も報告義務の対象ですのでご注意ください。
情報セキュリティ事故は、対応が遅れると被害が拡大する可能性が高いため、平常時に連絡先や担当者の把握をしておくことで、早期対応、早期復旧につながる取り組みとなります。
身近な業務フローの見直しで大きな効果が得られる対策もある
医療業界ではITの進化にともない、ゲノム情報や遺伝子情報などの取扱いが発生していることから、個人情報保護法においてもそれらの取扱いが法的に制限される状況となっています。
セキュリティ事故を起こしてしまった場合、漏えいしてしまった情報を回収し元の状態に戻すことは不可能です。そのため、事故をいかに発生させず予防対策を実施できるかが大きなポイントとなります。
コストをかけたセキュリティレベルの高い対策も有効ですが、身近な業務フローの見直しを行うだけで大きな効果が得られる対策もあります。
セキュリティ対策にゴールはなく、IT技術の進化に合わせた取り組みが求められますので、まずは一歩踏み出すために身近な取り組みから始めることを推奨します。
服部 達也
株式会社UPF