病院Vol.10
後を絶たない企業へのサイバー攻撃 医療機関もサイバーセキュリティへの十分な備えを
2024/7/18
ランサムウェアによる被害は年々増加傾向
「二重恐喝」による被害も
企業を狙ったサイバー攻撃が後を絶たない。今年6月には大手出版社が大規模なサイバー攻撃を受けた。子会社などがサービス停止に追い込まれ、取引先や従業員の情報が外部に流出するなど被害が拡大したことは記憶に新しい。これはランサムウェアによる身代金を狙ったサイバー攻撃だ。
ランサム(Ransom)とは身代金を意味する。ランサムウェアによるサイバー攻撃は、パソコンやサーバ等にコンピュータウイルスを感染させ、そこに保存されているデータを勝手に暗号化し、データを復号(元に戻すこと)する代わりに身代金を要求する。さらにはデータを窃取した上で公開すると脅迫して金銭を要求する手口(二重恐喝)や、データを暗号化せずに、窃取のみを行い金銭を要求する手口(ノーウェアランサム)も増えている。
ランサムウェアによる被害はこの数年で急速に増加。警察庁が2024年3月に公表した資料(参考1)によれば、警察庁に報告のあった件数は、2022年に前年比で約1.5倍の230件。2023年は減少したものの高い水準で推移している。
ランサムウェアの被害は、製造業やサービス業のほか、医療機関においても件数が多くなっている。攻撃手法が多様化しており、標的となる企業を直接攻撃していたものから、セキュリティの手薄な関連会社や取引先企業を通じて、攻撃を仕掛けるサプライチェーン攻撃も増えている。例えば、2022年10月に医療機関で発生したサイバー攻撃では、業務を委託していた事業者のシステムへの不正侵入から同機関のサーバにランサムウェアの感染が広がった。サプライチェーン攻撃への対策には自社のセキュリティ対策はもちろん、グループ会社や取引先など他社との連携が必要になる。
2023年4月、医療機関のサイバーセキュリティ確保を義務化
2024年度の診療報酬改定でも加算要件に盛り込まれた
そのような状況を踏まえて、厚生労働省は2023年3月に医療法施行規則の一部を改正する省令を公布。同年4月から施行され、医療機関の管理者が順守すべき具体的事項として、サイバーセキュリティの確保について必要な措置を講じることを義務化した。併せて、医療情報システムの適切な取り扱い等について示してきた「医療情報システムの安全管理に関するガイドライン」を同年5月に改定。サイバー攻撃の多様化・巧妙化が進んだことにより、医療機関の診療業務等に大きな影響が生じていることから、医療機関に求める安全管理措置を中心に内容の見直しを行った。(参考2)
主な改定内容は以下のとおり。
- (1)全体構成の見直し
- 概説編、経営管理編、企画管理編及びシステム運用編に分け、各編で想定する読者に求められる順守事項及びその考え方を示すとともに、Q&A等において現状で選択可能な具体的な技術にも言及するなど、構成を見直し。
- (2)外部委託、外部サービスの利用に関する整理
- クラウドサービスの特徴を踏まえたリスクや対策の考え方を整理するとともに、医療機関等のシステム類型別に責任範囲の考え方等を整理。
- (3)情報セキュリティに関する考え方の整理
- ネットワークの安全性の考え方や認証のあり方を踏まえて、ゼロトラスト思考に則した対策の考え方を示すほか、サイバー攻撃を含む非常時に対する具体的な対応について整理。
- (4)新技術、制度・規格の変更への対応
- オンライン資格確認の導入に必要なネットワーク機器等の安全管理措置等について整理。
なお、厚生労働省では、医療機関がガイドラインにもとづいて、適切な対応を行えるように、医療機関が優先的に取り組むべき事項をまとめたチェックリストや、サイバー攻撃を想定した事業継続計画(BCP)策定の確認表を公開している。(参考3)
また、サイバーセキュリティ確保は、2024年度の診療報酬改定にも盛り込まれている。診療録管理体制加算1において、「非常時に備えた医療情報システムのバックアップを複数の方式で確保し、その一部はネットワークから切り離したオフラインで保管していること」「非常時を想定した医療情報システムの利用が困難な場合の対応や復旧に至るまでの対応についてのBCPを策定し、少なくとも年1回程度、定期的に訓練・演習を実施すること。また、その結果を踏まえ、必要に応じて改善に向けた対応を行っていること」などが算定要件に追加され、診療報酬点数の引き上げも行われた。(参考4)
医療機関がサイバー攻撃を受けた場合、患者や関係者の情報流出により被害をもたらすのはもちろんのこと、電子カルテ等のシステム停止により人命が脅かされる危険性もある。被害を回避するためにも、サイバーセキュリティに対する十分な備えが必要である。
- 参考1)[警察庁]令和5年におけるサイバー空間をめぐる脅威の情勢等について
- 参考2)[厚生労働省]医療情報システムの安全管理に関するガイドライン第6.0版
- 参考3)[厚生労働省]医療機関等におけるサイバーセキュリティ対策チェックリスト
※リンク先のページ下部を参照のこと - 参考4)[厚生労働省]令和6年度診療報酬改定について