病院を襲うランサムウェア～電子カルテを守れ。セキュリティ対策を紹介

 病院やクリニックの理事長や院長、事務長は「もし自院の電子カルテがサイバー攻撃に遭ったら」と考えたことがあるでしょうか。

電子カルテが使えなくなっても、医療がまったくできなくなることはないと思いますが、医師も看護師も患者情報を入手できないので普段とおりの治療や看護ができなくなることは間違いありません。

そして事務職員たちはもっと悲惨で、診療報酬の請求手続きなど重要業務がすべてストップします。

これは患者さんの健康を危険にさらすことになり、経営にも影を落とします。

 医療機関のサイバー攻撃被害はすでに起きていて、例えば2021年に四国の病院がランサムウェアに襲われ大きなトラブルに見舞われました。そのコストは少なくとも2億円を要し、完全復旧には2カ月もかかりました。

 この記事ではランサムウェアがどのようなもので、医療機関がこれに襲われると何が起きるのか解説します。そして、被害を最小限にするためにすべきことを紹介します。

経営のトップと事務方のトップが「知ること」が、患者さんと自院を守る第1歩になります。

 

ランサムウェアとは

 

ランサムウェアは脅迫を伴うサイバー攻撃のことで、攻撃者は、ターゲットのコンピュータ・システムを使えなくして、元に戻す代わりに金銭を要求します（＊1）。

 

ランサムウェアはシステムを暗号化してしまいます。システムの所有者や正当な利用者は暗号を知らないのでそれを動かすことができなくなります。例えばパソコン内のファイルが開けなくなったりします。

電子カルテがランサムウェアの攻撃に遭えば、なかの患者情報やCT画像や検査結果などが閲覧できなくなります。

攻撃者は「暗号を解除して欲しければ身代金を支払え」と脅すわけです。また、攻撃者が電子カルテ内の患者情報を入手することもあり「これを公開されたくなければ…」と脅迫することもあります。

 

ランサムウェアに攻撃されると、パソコン画面に警告文が表示されるので、すぐに被害に遭ったことがわかります（＊2）。そしてその警告文で金銭に支払い方を説明します。

 

＊1：https://www.ntt.com/bizon/glossary/j-r/ransomware.html

＊2：https://digitalforensic.jp/wp-content/uploads/2021/11/medi-18-gl02_compressed.pdf

 

【実例】電子カルテが攻撃に遭うと診療にこのような影響が出る

 

病院がランサムウェアの攻撃に遭い、電子カルテなどが感染してしまうと診療などにどのような影響が出るのでしょうか。

その実例を紹介します。

 

2021年に四国の病院で起きたこと

 

2021年に四国のH病院がランサムウェア・タイプのサイバー攻撃に遭い、電子カルテが使えなくなりました。その結果、医師や看護師が患者情報を閲覧できなくなり、事務職員は診療報酬の請求事務ができなくなりました（＊3）。

始まりから衝撃的でした。

H病院内の複数のプリンターが一斉に、誰も操作していないのに、英文を印刷し始めたのです。英文の内容は「データを盗んで暗号化した。身代金を支払わないとデータをさらす」などとなっていました。

異変に気がついたH病院のスタッフが電子カルテを操作しましたが、もう動きませんでした。

 

＊3：https://xtech.nikkei.com/atcl/nxt/column/18/01157/041900059/

 

被害：新規患者の受け入れ停止、紙カルテの復活、薬局から情報入手など

 

H病院では10年前に紙カルテから電子カルテに切り替えていて、これに会計システムを連動させて診療報酬の算定や請求業務を行っていました。そのため電子カルテが使えなくなったことで会計システムも機能しなくなり、しばらく収入が得られない状態になりました。

 

しかしこれはまだ「まし」なほうで、医療への実害も出ています。電子カルテを導入したシステム会社（以下、ベンダー）が復旧にあたりましたが成果が出ず、H病院は新規の患者を受け入れられなくなりました。収入が得られないだけでなく、収入源すら消えかかったのです。

 

それでも入院患者さんがいるので医療は継続しなければならず、それにはカルテが必要です。それでスタッフが患者さんから手術歴やアレルギー情報などを聞き取って、紙カルテに書いていきました。

患者さんがうろ覚えの場合は、患者さんが使っている調剤薬局に問い合わせて薬の情報を確保しました。

 

コストは最低2億円、完全復旧までに2カ月

完全復旧に2カ月かかりました。なぜそんなに時間がかかったのか。

H病院はすぐに災害対策本部を立ち上げてベンダーに対応を要請しました。

ベンダーは直接被害を受けたH病院のサーバーを調べ、かけられた暗号を解こうとしましたができませんでした。

暗号を解くには攻撃者に身代金を払って解除キーを得るしかありませんでしたが、身代金を払ってもデータが戻る保証がなかったためこれは断念しています。

そうなると現行のサーバーや電子カルテはほぼ永遠に使えないので、応急処置で導入した紙カルテを使い続けるか、新しい電子カルテを導入するか、しかありません。

H病院はもちろん後者を選びました。

H病院災害対策本部は新しいサーバーと新しい電子カルテを導入することを検討しましたが、このころ世界的な半導体不足でサーバーの調達に時間がかかり、納入に半年かかるといわれました。

さらにH病院の事件が全国ニュースになったことで、国内の多くの医療機関が一斉に点検を始めたためどのベンダーもその業務に追われ、H病院にすぐにサーバーと電子カルテを導入してくれるベンダーがみつかりませんでした。

そこでH病院災害対策本部は、被害を受けたサーバーを導入したベンダーにサーバーを借りて、これまでと同じ電子カルテを新たに導入することにしました。

このコストは2億円。そして完全復旧は事件が起きてから2カ月後になりました。

なぜ防げなかったのか：安全装置の弱さに気がつかなかった

H病院のサーバーがランサムウェアの攻撃を防ぐことができなかったのはVPNという装置が弱かったからとされています。攻撃者はVPN装置の脆弱性を突き攻撃に成功したのです。

VPN装置は、インターネット上に仮想の専用回線を設定して、特定の人しか利用できない専用ネットワークを構築します。これはいわば「安全装置」であり、したがってH病院はセキュリティ対策を講じていたことになります。

ではなぜ攻撃を防ぐことができなかったのか。

それはVPN装置が弱くなっていたからです。

サーバー攻撃者は、脆弱性を突く専門家集団のようなものです。サーバーやシステムやネットワークに脆弱性があれば、簡単にそこから侵入されてしまいます。

バックアップ体制も十分ではなかった

そしてH病院事件では、バックアップ体制にも問題がありました。もしバックアップ体制を講じていたら、復旧に2カ月もかからなかったはずです。

しかもH病院災害対策本部は、事件を受けて1）ベンダーに暗号解除をさせて、2）新しいサーバーの導入を検討し、3）結局は既存ベンダーにサーバーを借りる、という段取りを踏みました。1）と2）は失敗したわけです。

万が一のときの初動が遅れると被害が拡大するのは、サイバー攻撃事件に遭ったときも同じで、医療機関はそれに備えておかなければなりません。

その他の医療機関のサイバー攻撃事例

医療機関はH病院の事例を他山の石とすべきでしょう。

2022年4月には大阪府の病院がランサムウェア型のサイバー攻撃を受けて、やはり電子カルテが閲覧できなくなる状態になりました（＊4）。ここでも病院内のプリンターが一斉に英文の脅迫文を印刷したそうです。

2022年では1月にも愛知県の病院が同様の被害を受けています（＊4）。

2018年には奈良県で、2019年には東京都で、2020年には福島県の大学病院でも同様の攻撃を受けています（＊5）。

もう医療機関のサイバー攻撃は他人事ではなく、医療機関の経営者や事務長は「次はうちの病院かもしれない」と警戒すべき、といえます。

＊4：https://www3.nhk.or.jp/news/html/20220428/k10013604371000.html

＊5：https://www.jmari.med.or.jp/wp-content/uploads/2022/03/WP465_appendix.pdf

 

厚生労働省は医療機関に警戒を呼びかけている

 

厚生労働省政策統括官付サイバーセキュリティ担当参事官室などは2021年6月に都道府県の担当部署に「医療機関を標的としたランサムウェアによるサイバー攻撃について（注意喚起）」という文書を送付しました（＊6）。都道府県から医療機関に呼びかけてもらうための文書です。

 

同省はこのなかで●医療機関のランサムウェア被害は増加している●ランサムウェアに感染すると電子カルテが使えなくなり診療に支障が生じる●患者の個人情報が盗まれると甚大な被害をもたらす、と警鐘を鳴らしています。

 

＊6：https://www.mhlw.go.jp/hourei/doc/tsuchi/T210630U0010.pdf

 

推奨される対策とは

 

厚生労働省は「注意喚起」のなかで、医療機関に次のような対策を推奨しています。

 

●ネットワークへの侵入対策を講じる

●インシデント対応体制を構築する

●データとシステムのバックアップ体制を講じる

●情報窃取とリークへの対策を講じる

●医療情報システムにセキュリティ対策を講じる

 

これらが、医療機関の経営者や事務長などがしなければならないこと、になります。

 

ランサムウェアには3つの対策が有効

 

ランサムウェアを含むサイバー攻撃から自院を守るには、1）組織的、人的対策、2）技術的対策、3）物理的対策が有効になるでしょう。

 

組織的、人的対策

 

組織的、人的対策は「まずは足元を固める」という考えに基づきます。組織とスタッフを鍛えてサイバー攻撃に負けないようにしなければなりません。なぜならサイバー攻撃といえども、最後は組織と人が守らなければならないからです。

 

院内に情報セキュリティポリシーは設置されているでしょうか。情報セキュリティポリシーとは、医療機関や企業などの組織が実施する情報セキュリティ対策の方針や行動指針のことです（＊7）。どの脅威からどの情報資産を守るのか、体制、運用、対策基準などを記載します。

これがない病院やクリニックの経営者は、まずは情報セキュリティポリシーをつくりましょう。

 

そして情報セキュリティポリシーができたら、院内のすべてのスタッフのセキュリティ・リテラシーを高めていきます。「すべてのスタッフ」とは医師も看護師も事務職員も看護助手も派遣社員も掃除スタッフもすべてです。なぜならサーバーを破壊したりパソコンを盗んだりすることは誰でも可能だからです。

まずは情報セキュリティポリシーをスタッフ全員で読み込む研修を開いてはいかがでしょうか。

経営者や事務長が危機感を持つことができたら、その危機感を全スタッフに持ってもらわなければなりません。リテラシーが自然に向上することはなく、危険をリアルに意識できなければ始まりません。

 

＊7：https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-2.html

 

技術的対策

 

病院やクリニックの理事長や院長はほとんどが医師です。事務長も、ITやシステムに詳しい人はそれほど多くないはずです。

そのため医療機関の経営者や事務長は、えてしてセキュリティ関係の技術的なことを専門家に丸投げしがちですが、少なくとも次の対策は自ら指示、確認できるくらいの知識は得ておきたいものです。

 

●ネットワーク監視装置

●認証サーバーの導入

●サーバーやパソコンのOSを常に最新化する

●ウイルス対策ソフトを常に最新にアップデート

●バックアップ

●サイバーリスク保険

 

複数のセキュリティ機能を1つに集約して運用するネットワークセキュリティ対策のことをUnified Threat Management（統合脅威管理、以下、UTM）といいます。

経営者や事務長には、少なくとも一度はUTMやセキュリティ関連の講習会に参加することをおすすめします。

 

物理的対策

 

物理的対策とは、防犯カメラを設置したり、ドアの施錠をより頑丈なものにしたり、警報装置を増やしたりすることです。

「情報セキュリティやサイバー攻撃に物理的な対策が必要なのか」と感じるかもしれませんが、例えばパソコンが盗まれて、そのなかに電子カルテやシステムの情報が含まれていれば「筒抜け」状態になります。

また、物理的に患者情報が盗まれても、インターネット経由で患者情報が盗まれても、医療機関の被害は同じです。

物理的対策を情報セキュリティ対策と一緒に強化することで、院内の意識がグッと高まるはずです。

 

コストをかけず今すぐできること

 

上記の3つの対策の他に、自院ですぐに手をつけることができ、しかもコストがあまりかからない方法があります。

 

■紙カルテで運用できるように訓練する

すでに電子カルテでしか仕事をしたことがない医師や看護師は多く存在します。そのような人たちは、急に紙カルテを使うことになったら混乱するはずです。

そのため、院内で紙カルテを使う訓練をしておくことは情報セキュリティ対策になります。

医療を遅らせることは、攻撃者に負けたことになります。電子カルテがダウンしても、応急処置的にすぐに紙カルテに移行できれば医療を継続できます。

 

■インシデントに強いベンダーを探しておく

サイバー攻撃に遭ったら、まずはベンダー（電子カルテなどのシステムを提供する会社）の担当者を呼ぶことになります。もしその担当者が病院にやってきて「私では対応できません」といったら、別のベンダーを探さなければなりません。

そうであるならば、今からインシデントに強いベンダーを探しておきましょう。

もしこれから電子カルテを導入する医療機関があれば、サイバー攻撃に遭ったときの対応を確認してからベンダーを選んでもよいでしょう。

 

攻撃が判明したらまず何をすればよいのか

 

情報セキュリティ体制を構築することになったら、サイバー攻撃を受けたことが判明したらまず何をしなければならないか、を決めておくことも忘れないでください。

それには厚生労働省の「医療情報システム等の障害発生時の対応フローチャート」が役立ちます。このフローチャートは以下のURLからダウンロードすることができます。

 

■医療情報システム等の障害発生時の対応フローチャートのURL

https://www.mhlw.go.jp/content/10808000/000844703.pdf

 

これはかなり専門的な情報ですが、文言は平易で、これを読み解くのにITの知識はそれほど必要ありません。院内のスタッフ研修の資料にすることもできそうです。

 

同フローチャートでは、異常を検知したあとの行動（業務フロー）は次のようにしたほうがよいとアドバイスしています。

 

●異常の検知

↓

●ウイルス感染あり

↓

●ケーブルの切り離し

↓

●関係者への連絡

↓

●確認

↓

●重大な障害がある

↓

●被害拡大の防止（ネットワークの切断や再起動の停止など）

↓

●報告と周知

↓

●確認、指示

↓

●被害状況の調査

↓

●報告

↓

●方針指示

↓

●情報漏えい、医療体制への支障が発覚

↓

●証拠保全

↓

●ベンダーなどに依頼

↓

●報告・確認

↓

●警察への届け出

↓

●復旧

↓

●行政機関への報告

↓

●復旧結果の確認

↓

●再発防止の指示

↓

●法的措置

 

ランサムウェアなどのサイバー攻撃を受けたらまず何をしなければならないのか。

それは上記の業務フローにすぐに着手して、この業務をよどみなく進めていくことです。

 

まとめ～攻撃されるのは明日かもしれない

 

ランサムウェアの脅威を実感できた医療機関の経営者や事務長が行うべきことをおさらいしておきます。

 

●ネットワークへの侵入対策を講じる

●インシデント対応体制を構築する

●データとシステムのバックアップ体制を講じる

●情報窃取とリークへの対策を講じる

●医療情報システムにセキュリティ対策を講じる

●組織的、人的対策を講じる

●技術的対策を講じる

●物理的対策を講じる

●紙カルテで運用できるようにする

●インシデントに強いベンダーを探す

●「医療情報システム等の障害発生時の対応フローチャート」を実行できるようにする

 

やることがたくさんあって一気に取り組むことは難しいかもしれませんが、スピード感も持っておいてください。なぜなら自院が襲われる前に、これらの対策を講じておかなければならないからです。

そして攻撃者が自院を標的にするのは、明日かもしれないからです。

リスクの高さは東京のクリニックでも四国の病院でも変わりありません。

泥棒を院内に入れないようにするのと同じくらいの危機感を持ってセキュリティ対策を強固にしていきましょう。