医療業界でのサイバーセキュリティ

医療業界でのサイバーセキュリティ

医療業界におけるサイバーセキュリティの現在、についてまとめました。

様々なところで目にするマイナ保険証の話題に代表されるように、現在、国を挙げて「医療DX」を進める動きが活発化しています。これから医療DXが進んでいくときに、合わせて考えていかなければいけないのが「サイバーセキュリティ」です。

今、医療機関に求められるサイバーセキュリティ対策とは？そういった疑問にお答えすることが出来ればと思います。

もちろん以前から医療機関でのサイバーセキュリティ対策は重要だったのですが、このところ医療機関を取り巻く環境が変化し、よりシビアにサイバーセキュリティ対策が求められていると言える状況になっていると言えます。

取り巻く環境の変化

その大きな要因として、まずはじめに挙げなければいけないのは、2021年、2022年に続けて起きた医療機関へのサイバー攻撃のニュースです。

コンピュータウイルス感染事案有識者会議調査報告書について　つるぎ町立半田病院

情報セキュリティインシデント調査委員会報告書について

以前はサイバー攻撃やコンピュータウイルスというのはどちらかと言うとコンピュータマニアの愉快犯によるものが多かったのですが、数年前から状況が大きく変わりました。ランサムウェア攻撃という身代金目的のサイバー攻撃が急増した、そしてその手口もとても巧妙化してきているということがあります。

被害に遭った医療機関では、診療業務が止まってしまう、ということで地域医療への深刻な影響を与えるとともに、その間、診察ができなくなり医療機関の経営にもダメージを与えるという事態になっています。

このことを受けて国、厚生労働省の方でも2023年、矢継ぎ早に、そしてより強く各医療機関に対策を求めるようになりました。

まず始めに4月に医療法施行規則の改正が行われました。そして5月に医療情報安全管理ガイドラインの改定が行われ、6月には医療法に基づく立入検査の内容が発出されたのですが、これらの具体的内容と関係性について解説します。

まず医療法施行規則の改正についてですが、改正の趣旨としてこのように記されています。

厚生労働省　医療法施行規則の一部を改正する省令について
https://www.mhlw.go.jp/content/10808000/001075881.pdf

医療機関に対するサイバー攻撃が増加している、そのため医療機関におけるサイバーセキュリティ対策に関する取り組みの実効性を高める必要がある、ということで、医療機関が遵守すべき事項としてサイバーセキュリティ対策を位置付ける、とされていて、サイバーセキュリティ対策は医療法上の義務ということになったと言えます。

ではサイバーセキュリティ対策を行うことが法令上の義務となったことは分かったものの、その「対策」というのはどのようなことをすれば良いのか？については、最新の「医療情報システムの安全管理に関するガイドライン」を参照してセキュリティ対策について適切な対応を行うこと、と記されています。

そのガイドラインは厚生労働省ホームページに掲載されています。このホームページでは4編に分かれたガイドライン本体部分とその付属資料があります。

医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）

先述したように、このガイドラインに基づいた対策が医療法において医療機関が「遵守すべき事項」になったということになります。

そしてその遵守状況を確認するため、医療法第25条に基づく立入検査の要綱の中に、「サイバーセキュリティの確保」という項目が新たに設けられた、ということになります。

厚生労働省　医療法第 25 条第１項の規定に基づく立入検査要綱の一部改正について
https://www.mhlw.go.jp/content/10800000/001111903.pdf

そしてここにもやはり、医療情報システムの安全管理ガイドラインを参照することとなっていて、中でも優先的に取り組むべき事を示した「サイバーセキュリティ対策チェックリスト」に必要事項の記入をすること、と記されています。

そのチェックリストには医療機関が記入する医療機関確認用、そして各システムベンダーが記入する事業者確認用の2つがあります。

つまり、実際に立入検査を受けるのは医療機関ですが、今回、厚生労働省は医療機関、ベンダーの双方でサイバーセキュリティ対策状況をチェックすることを求めているということになります。

このチェックリストの記入方法については、厚生労働省の医療機関向けセキュリティ教育支援ポータルサイトの研修動画で解説されています。

TOPページ - 医療機関向けセキュリティ教育支援ポータルサイト

また「立入検査対策」といった観点から、このチェックリストが注目されがちではあるのですが、このチェックリストはあくまでも優先的に取り組むべき最低限のことが示されているものであり本来、医療法上、遵守すべきものは「医療情報システムの安全管理に関するガイドライン」ということになりますのでその点にも留意が必要です。

医療情報システムの安全管理に関するガイドライン第6.0版への改定

ということで、そのガイドラインについて解説していきます。

この「医療情報システムの安全管理に関するガイドライン」は厚生労働省が発出しており医療機関が医療情報システムを導入・運用していく上で必要になる考え方や遵守事項について整理された文書です。

これが2023年5月に改定され、それまでの第5.2版から第6.0版へとアップデートされています。この記事ではその第5.2版から第6.0版への改定のポイントについて解説します。

厚生労働省が出している「改定方針資料」中の1ページで、注目すべきポイントとしては3つあります。

厚生労働省　医療情報システムの安全管理に関するガイドラインの 概要及び主な改定内容
https://www.mhlw.go.jp/content/10808000/001102596.pdf

一つ目が外部委託、外部サービス利用に関してです。ここでは医療機関は自らの情報システムを守るためには委託先事業者の管理をしっかりと行えなければいけない、ということを言っています。

そして2つ目には情報セキュリティに関する考え方の整理ということで「境界防御型思考」と「ゼロトラストネットワーク型思考」という言葉が出ています。

3つ目としては「全体構成の見直し」についてです。このガイドライン、5.2版では本編と別冊という2編の資料だったのですが、この改定で構成が変わり、「概説編」「経営管理編」「企画管理編」「システム運用編」という4編構成になりました。

全体で認識共有すべき事項を記したものが「概説編」、経営層に読んでいただく「経営管理編」、実際にシステムのマネジメントを行う管理者に読んでいただく「企画管理編」、そしてシステムの運用を担っている担当者に読んでいただく「システム運用編」という構成になっています。

重要なのはこのことが何を意味しているかということなのです。
よく聞くお話として「情報システムの管理はITに詳しい人に任せっきりになっている」といったことがありますが、そうではなく医療機関の経営課題としてシステムの安全管理に「組織全体での取り組み」を行うという意識を持っていただく狙いがここにはあります。

ガイドライン改定の背景

ではここからは、このようにガイドラインが改定されてきている、その背景についても解説します。

これまで多くの医療機関では、医療情報システムというのは外部ネットワークと接続をしない閉じたネットワークで運用するため安全である、と考えられてきました。

ただ、そのように信じられてきた医療機関においてサイバー攻撃の事件が複数件起こっています。この「閉域網神話の崩壊」を私たちは正しく認識しなければいけない、ということで示された考え方が、先述したガイドライン改定の3つのポイントである「委託先事業者の管理」、「ゼロトラスト」そして「組織全体での取り組み」ということになります。

では先ほどお話ししたような外部と繋いでいないと考えられていた医療情報システムがなぜサイバー攻撃にあったのか？

実際に攻撃にあった事例では、何が起こっていたのか、その対策についてはどのように考えなければいけないのかについて説明します。

実は多くの医療情報システムは閉じたネットワークで利用しているとは言うものの、システム事業者のリモートメンテナンスのために外部ネットワークと接続しているということが多いというのが実態です。

そこで、その接続先事業者との間にVPNという技術を使い、トンネリングという手法を用いてセキュリティを確保するということを行っていました。

トンネリングというその名の通りトンネルの中だから安全、という考え方です。

ところがそのトンネルにも傷や綻びが生じます。これがいわゆる脆弱性やセキュリティホールと言われるものです。

そしてその傷口から侵入され攻撃を許してしまう、ということが起こりました。
ですから必ず最新のセキュリティパッチを当てて脆弱性を塞いでおくということが必要となります。

そして同時にこれまでは安全と信じられてきたネットワークの境界の中も安全とは言い切れない、ここに対しても何らかの対策が必要というのが、大まかに言ってしまえばゼロトラスト型の考え方ということになります。

さらに別の事例ではこういうことが起こりました。

この場合では医療機関側ではなく、まず始めに委託先事業者側がサイバー攻撃に遭ってしまいました。そしてそこを通じて、安全だと信じられてきたネットワークの中からの攻撃者の侵入を許してしまったという事例になります。

取るべき対策としては、ネットワークの境界の中も安全とは言い切れないため、端末レベルで対策を行う、ネットワークの全容を把握して管理・監視を行うといったゼロトラストの考え方に立った対策を行うとともに、委託先事業者側の管理も怠らない、それぞれの責任や役割を明確にし契約書などの文書によって取り交わしておくということが求められるようになったということです。

そしてこれらのことは、当然ながらITに詳しい一人の担当者さんだけでは行えません。これは経営課題です。組織としてサイバーセキュリティ対策に取り組んでください。そのためにガイドラインも4編構成に分けました。という先ほどのお話に繋がっているという訳です。

これまでの考え方を変えることが必要

オンライン資格確認（マイナ保険証）から始まり、全国で医療情報が共有され私たち個人のスマホからも自分の健康情報にアクセスできるようになるという今後の「医療DX」時代には、全ての医療機関がネットワークに常時接続される形になります。

もはや閉域網神話というものは文字通り遙か昔のお話になってしまいます。

私たちは今、医療情報セキュリティに対する考え方を根本から変えなければいけない局面に立たされているということ認識することが必要になっています。