1. トップ
  2. /
  3. トピックス
  4. /
  5. なぜ医療機関はサイバー攻撃の標的になっているのか?

なぜ医療機関はサイバー攻撃の標的になっているのか?

医療機関がサーバー攻撃の標的になっている理由

1.新型コロナ感染拡大で医療が逼迫している

国立国際医療研究センターへのサイバー攻撃の件数をみると、2019年は月に平均10万件程度だったのに対して2020年は月に40万件、2021年は月に100万件と増加しています。これらのサイバー攻撃の増加は新型コロナの感染拡大で、医療業務が逼迫しセキュリティ対策まで手が届いていない状況と、新型コロナ対応により緊急性を優先してセキュリティ対策が不十分なまま、インターネット経由の業務へ切り変えてる医療機関の混乱に乗じてサイバー攻撃が仕替えられています。医療機関を狙ったサイバー攻撃は2022年に入ってからも高止まりした傾向にあり、新型コロナの感染が収束に向かっても暫くはこの傾向がつづくと推測されます。

2.医療機関は重要な個人情報を多く扱っている

医療機関における個人情報は、患者の住所・氏名・年齢などに加え、カルテ情報・レセプト情報・検査記録・検査画像、通院/入院記録にいたるまでプライバシー性が高い情報を多く扱っています。これらの個人情報は、厚生労働省により制定された「医療・介護関係事業者における個人情報の適切な取り扱いのためのガイドラン」にそって厳重に管理されていますが、しばしばサイバー攻撃により個人情報の流失事故が発生しています、流失した個人情報はダークサイトと呼ばれるウェブサイトで売買される場合もあり、プライベート性が高く多くの件数が収納されたリストが高値で売買される傾向にあります。

3.医療機関はシステム停止が人命に関わるため即時の復旧が必要

電子カルテシステムには、患者の症状や治療経過の情報だけではなく、医療会計システムや検査や処方箋システムなど多くのシステムと連携しているため。電子カルテシステムが停止すると医療活動の全てが麻痺した状態に陥ります。入院患者や緊急の医療対応が必要な重篤な患者を抱える医療機関では、電子カルテシステムの停止は即命に係わる問題となり、患者の生命と引き換えにシステム復旧のための身代金要求に応じなければならない事態になります。

4.医療機関はセキュリティ対策が他の業種に比較して脆弱である

2019年頃からVPNの脆弱性が報告されていますが、医療機関の中にはバッチプログラムを適用せずに古い状態のまま使用していたことにより、VPNの脆弱性を悪用されてランサムウェアなどに感染した事例が多く報告されています。

つるぎ町立半田病院の教訓から学ぶこと

徳島県つるぎ町立半田病院は、サイバー攻撃によりランサムウェアに感染したことを公表し、さらに、全国の病院や事業所がサイバー攻撃を受けないためにも、詳細な状況を公表することが責任であると考え、その経緯と課題・提言までを「有識者会議調査報告書」と「セキュリティコントロールガイドライン」としてまとめHP ( https://www.handa-hospital.jp/topics/2022/0616/index.html )で公開しています。

つるぎ町立半田病院は、2021年10月31日にランサムウェアの攻撃により、約8万5千人分の患者情報が暗号化され、「データを元に戻したければ身代金を払え」と要求されるサイバー攻撃を受けています。診療報酬計算や電子カルテ閲覧に使用する院内システムが使用できなくなり、外来患者の新規受け付不能に陥りました。そして、通常診療が再開できたのは2022年1月4日です。システムの復旧に掛かった費用は約2億円で、診療報酬の減収が数千万円であったとしています。半田病院は、今回の一連の経緯を「有識者会議調査報告書」としてまとめ2022年6月7日にHPで公開してます。実際の医療機関で発生した事例として、今後のセキュリティ対策の参考になる情報が多くふくまていますので是非参考にしてください。ここではその一部をご紹介します。

セキュリティ知識の不足。ずさんな運用

地域の拠点病院である半田病院であっても、情報システムの担当者は1名で運用していて、サイバーセキュリティの知識を深めることや設定の見直しなどを行える状況ではなかったようです。そのような状況でインシデントが発生するのを予測できなかったのは半田病院の責任ですが、報告書のなかでは、電子カルテシステム提供事業者または情報システム運用事業者に対する責任にも触れています。

たとえば、電子カルテシステムを導入している時点で、システムの正常動作を優先するあまり、提供事業者からセキュリティレベルを下げる指示があったようです。また、今回の侵入経路となったVPNの脆弱性に関する情報提供は無く、SilverlightやActiveX前提の電子カルテシステムを提供し、当該情報のサポート切れやセキュリティ上の懸念が示されていないことも問題視しています。対策としてシステム事業者から必要な情報を適時適切に提供していただくこと、事業者との責任分担を明確にして契約を締結することを提言しています。

ガイドラインにも課題がある

今後の対策としてガイドラインに沿った取り組みを行うべきだが、厚生労働省が公開しているガイドラインも含め複数のガイドラインが存在することや、抽象度が高いこと、またISMSなどを前提としているためにハードルが高い内容が示されているなど、ガイドラインそのものにも課題があることを指摘しています。

セキュリティに関する事前準備が重要

今回の復旧に向けての作業は、地震災害時の対策として準備していた事業継続計画を活用したことで円滑に行うことができたと報告されています。本教訓からの学びとして、既存の事業継続計画を見直し、サイバーセキュリティインシデントも含めた上で、事業継続計画が機能するように準備をしておくことが必要です。
そして、決して今回のインシデントは対岸の火事ではなく、全ての医療機関そして政府機関が、今回のインシデントから学び、組織の情報セキュリティを再考するチャンスだと考えています。

病院におけるセキュリティ対策の課題

四病院団体協議会が2022年2月に実施したセキュリティアンケート(5596件の病院を対象に実施し訳20%の1144件の病院が回答)の調査結果(https://ajhc.or.jp/siryo/4byokyo-security.pdf )から現在の病院におけるセキュリティ対策の課題が見えてきます。

  • 病院に対するサイバー攻撃に対して、89%の病院は危機感をもっています。しかし、脆弱性を指摘されたVPN機器への対応を行っていないと回答した病院が34%ありました。その理由の半数の医院が「情報をキャッチできなかったため」、「予算がなかったため」と回答しています。
  • セキュリティ監査は多くの病院で未実施であり、システム/セキュリティ管理体制の脆弱さが指摘されています。また、病院のシステムは安全であるということを前提に外部の評価を受けない体質にあります。
  • 51%の病院のセキュリティ予算は、年間500万円未満であり、十分なセキュリティ予算を確保できているのは僅か11%で、セキュリティ予算が不足しています。
  • USBメモリ・PCの紛失といった、情報漏洩等に伴うインシデントに対しては56%の病院が準備できていると回答していますが、67%の病院では、ランサムウェア等により医療情報システムが使えなくなった際の態勢整備・計画に着手できていないという結果になっています。

この調査結果では、これらのアンケートの回答を基に、他産業平均で見た合理的なセキュリティ予算を官公庁が公的に補助することで、患者診療の継続性・安全性を担保することを提言してます。医療機関のセキュリティ対策が他業種に比較して脆弱であることは、医療機関がサイバー攻撃の標的になる理由の一つとなっています。セキュリティ対策のための予算を確保して早急に実施に移れることを願っています。

MENU