保団連「歯科医療機関向けサイバーセキュリティ対策学習会」
2023年12月16日(土)
国の医療 DX の推進に伴い、サイバーリスクも増大する。国は医療 DX とセキュリティ対策を両輪と言っているが、現状、片輪走行で突っ走ろうとしている。
医療分野における被害事例も年々増加している。小さい医療機関だからといって狙われないということはなく、侵入しやすいところには攻撃を仕掛けてくるリスクが高い。復旧には、多大な費用がかかる。
歯科医療機関としては患者の個人情報保護と長期間休診の回避のために対策が必要となる。
a~dの4点をレセコン会社に確認する
a 米国 Fortinet の VPN 機器の脆弱性未対策
b 保守契約書の中に「サイバー攻撃等の際に過失を負わない」という文言に注意する
c オンプレミス型電子カルテからの被害が主である
(クラウド等を使わない院内クローズドネットワーク)
d ISMS(ISO27001)かプライバシーマークを取得している事業者と契約する
e ベンダーとの保守契約書についても対策についての責任の所在など再確認する
講演内容
A.歯科医療機関における電子化の現状
まず、歯科医療機関における電子化の状況を整理。政府の 2020 年調査では、電子カルテ普及率が 48.7%とされているが、高すぎる数値。また 2017 年調査から下がっているのも不可解(2017 年:57.3%)であり、多くの方がレセコンと電カルテを間違えて回答していると考えられ、実際の普及率は 20%以下と思われる。例として、名古屋地区で 10 歯科医療機関にアンケート協力を依頼したところ、導入は 0 件だった。
一方で、国としては医療 DX の推進の中で、電子カルテの強制的な利用を推進しており、歯科医療機関でも遅かれ早かれ対応が求められ、それに伴い、サイバーリスクも増大する。国は医療 DX とセキュリティ対策を両輪と言っているが、現状、片輪走行で突っ走ろうとしている。それでも医療機関としては患者の個人情報保護のためにも対策が必要なので注意。
B.医療分野における被害事例の実態と学ぶべき教訓
1)ランサムウエアの主な被害事例
2021 年以降ランサムウエアによる被害の公表(一部、疑いなども含む)リストを見ると、2021 年に 5 件、2022 年に 14 件、2023 年に 5 件の被害が発生している。有名どころは市立東大阪医療センターなど大病院での被害や徳島県の半田病院、また無床診療所でも被害が出ている。
共通課題として、a米国 Fortinet の VPN 機器の脆弱性未対策が原因での侵入事例が 24 件中 13 件見られた。医療機関への注意喚起なども行われているが、同様の事態が何回も起こっていることから見ても、不十分な現状にある。その理由として、VPN 装置の大半は医療機関ではなく事業者が調達、設置、設置したものであり医療機関側が十分に状況を認識していないことも問題。要するに、必要なところ(業者)に適切な情報が行き渡っておらずディスコミュニケーション状態にあった。
また、被害があったときの対策としてバックアップによる対応も本来は期待できるが、バックアップデータまで暗号化されてしまい、復旧が困難になった事例が 24 件中 5 件みられた。半田病院もこのケースに該当する。このため、半田病院では完全復旧まで二ヵ月、費用として二億円を要した。
また、2022 年に同じく徳島県の鳴門山上病院(200 床)がランサムウエア被害にあった。その二週間前にバックアップシステムを導入していたおかげで、診療が止まるも4日後には完全復旧できた。原則として、被害を最小化する最後の砦がバックアップであることを覚えておいて欲しい。
2)歯科診療所での被害事例
歯科診療所の被害事例としては、2022 年 2 月に関東地方で発生。医療機関としてはランサムウエア被害の自覚がなく、「データが見られなくなったので、みてほしい」と医療 ISACの会員企業にデータ復旧依頼があり、現地確認するとランサムウエアに感染していたことが発覚。また、VPN 機器のバージョン更新もされておらず、ID・パスワードなども初期設定のままで、いわゆる脆弱な状態のまま運営されていた。また、院内パスワードもクリニック名のローマ字表記程度の安易で少ない桁数だったことも突破された要因と言える。
対応としては、一時的に紙カルテで運用→NAS の削除データを復元→新しい電子カルテに入力→約三カ月を要して従来の運用に復帰し、身代金は支払っていない。このように、小さい医療機関だからといって狙われないということはなく、侵入しやすいところには攻撃を仕掛けてくるリスクが高いと考える必要がある。
また、システムについてはインターネット上で管理するクラウド型と自社内のシステムで管理するオンプレミス型があるが、上記 13 件の被害はすべてオンプレミス型であり、その点も考慮する必要がある。一般的な感覚としては、クラウドの方がネット上にデータを置くことで漏洩リスクがあると思われがちだが、誤解がある。
関連して、調剤薬局の被害事例として、オンラインの予約システム等を介した感染例もあり、今後、オンライン予約システム等が普及することで医療機関での被害発生。
対策に関して、医療 ISAC のアンケート調査でも、予算がない、人材がない、知識がない、の3“ない”状態と言える。ただし、これについては、現行の診療報酬を土台とした報酬体系のままではそのための費用も捻出が困難な状況にあるのも課題。
3)感染経路等について
半田病院、大阪急性期医療センターの被害実態について解説。半田病院の場合は、ダークウェブで情報が公開(販売)されていたことが要因かつパスワードも簡易なものだったことも大きい。大阪急性期医療センターの場合は、病院側のネットワークに直接の侵入の隙はなかったが、オンラインで常時繋がっている給食センターのセキュリティが脆弱だったため、給食センターの感染から始まり、病院のサーバーが感染するまで侵入からわずか 38 分であった。
また、病院内のサーバー200台、端末 2000 台以上の ID・パスワードが全て共通設定・唯一化となっていたことが短時間で突破された要因だった。反省点としては、まず病院側も給食センターのセキュリティを強化するよう指導すべきであったこと。
セキュリティはベンダーに丸投げになりがちだが、それだけで大丈夫と言うのは、希望的観測でしかない。また、セキュリティはベンダー側にとってコストでしかなく、医療機関側に不利な契約になっていることもあり、注意が必要。b保守契約書の中に、サイバー攻撃等の際に過失を負わないという文言がある場合もあり、契約時にその点も注意するべき。加えて、クラウド等を使わない院内クローズドネットワークだから大丈夫という考え方をされているケースも多いが、そのような「安全神話」は崩壊しており、むしろcオンプレミス型電子カルテからの被害が主であることを改めて強調したい。
C.ガイドライン第 6.0 版について
2023 年 5 月~のガイドライン新版では、従来のチェックリスト方式からリスクアセスメント方式に変わったことが大きい。自院の使用するシステムを元にリスクを特定し、各リスク評価(顕在化率及びリスクの重大性からリスクを5段階評価する)を行い、自らどのような対策が必要であるかを検討し、対策を講ずる必要があるとされた。
ガイドラインとしては「概説編(Overview)」に加えて、読み手ごとに①「経営管理編(Governance)」、②「企画管理編(Management)」、③「システム運用編(Control)」として、それぞれ規定されている。歯科医療機関では、歯科医師は①にあたることが多いと思うので、「経営管理編」(全 23 ページ)を読んでおく必要がある。また、ガイドラインの対象となる医療情報システムの範囲は、部門システム E-mail や Web システム、SNS もすべて含まれるため、レセコンだけという場合も対象になりガイドラインを遵守する必要があるので、保健所立入検査の対象にもなる。
経営管理編の中で、2章(リスク評価を踏まえた管理)と5章(医療情報システム・サービス事業者との協働)が特に重要。リスクの低減・回避・移転・受容について見なおすこと。
また、ベンダーとの協働はセキュリティ対策に必須であり、事業者の選定時はd ISMS(ISO27001)かプライバシーマークを取得している事業者と契約することとガイドラインでも明記されている。契約業者が取得していない場合はいつまでに取得するか明確にさせるべき。調査では、中小のベンダーだと半数以上が取得していないので注意が必要。
つまるところ、対応モデルとしては、①組織体制を見直す、②IT 資産棚卸し(どんなシステムを導入しているか正しく把握する)、③リスクアセスメント、④リスクコミュニケーションが必要不可欠。
D.歯科医療機関のサイバーセキュリティの現状と事業者の対応状況
歯科向け電子カルテシステム提供事業者へのアンケートを実施(個別詳細は資料参照)。6割以上がガイドライン対応を進めているが、4割は未対応であり、歯科医療機関としても自分の身を守るためにもベンダーに状況を確認する必要がある。
E.医療機関向けサイバーセキュリティ対策ツール
上記のような問題がある中で、サイバーセキュリティ対策ツールの導入が欠かせない。なりすましメール被害には DMARK を導入することや、HP対策として不正アクセスの可視化及びアクセス制御なども大切。アンチウイルスソフトはウイルス亜種やファイルレスマウェアへの対応ができない。
また、侵入型攻撃ではアンチウイルスソフトが無効化される事例も多く、あくまで限定的意義しかないものであり、Windows ユーザーならば無償の Windows Defender で十分。有償のソフトと遜色ないため、導入する意味がない。繰り返しになるが、eベンダーとの保守契約書についても対策についての責任の所在など再確認するべき。
医療 ISAC ではガイドライン最新版対応のチェックリストなども提供しているので、ぜひ活用いただきたい。
医療機関は患者の機微な個人情報を預かっている立場であり、サイバーセキュリティ対策は医療機関の社会的責任。対策の法的措置が具体的に課せられるようになった中で、知らなかった、予算がない、人がいないは言い訳にならず、自分事として捉えてほしい。
(文責:大田)
*a~eの5点をレセコン会社に確認する
保団連「歯科医療機関向けサイバーセキュリティ対策学習会」
① 日 時:2023 年 12 月 16 日(土)18 時~20 時 30 分ごろ
② 場 所:新宿農協会館8階大会議室及びウェビナー
③ 参加対象:保険医協会・医会の会員、事務局(参加費無料)
④ 講 師:深津 博氏(医療 ISAC 代表理事)
医療 ISAC とは
医療 ISAC は、病院等の団体から理事を委嘱してもらい組織している。また、Steering Committee Members(実行委員会)としてサイバーセキュリティ関係の専門家が運営参加。当初、2014 年にメディカル IT セキュリティーフォーラムを設立。2015 年に一般社団法人に移行。2019 年に米国 Health ISAC(Information Share and Analysis Center)と事業提携し、同年に医療 ISAC に改称。
具体的な活動としては、セキュリティニュースを毎日配信するほか、セミナーを毎月、ワークショップを日米合同で年1回開催。被害防止・最少化活動として注意喚起や費用が足りない医療機関のクラウドファンディング実施の支援、サイバーセキュリティについての無料相談や、アンケート調査を元に提言するなどシンクタンク機能も併せ持つ。会員は個人が医療機関 599 名、ITベンダー等 603 名、企業 27 社。
「歯科医療機関向けサーバセキュリティ対策学習会」開催のご案内
全国保険医団体連合会
情報通信部
部長 柴沼 博之
昨今、医療機関へのランサムウェア被害が急増する中、厚労省は 2023 年5月末に「医療情報システムの安全管理に関するガイドライン第 6.0 版」を公開しました。また、6月から医療法上の立入検査に「サイバーセキュリティ対策」が対象となり、当該ガイドラインをそのためのマニュアルとして位置付けています。
しかし、内容が大変複雑であり、すべての医療機関に突然の対応を迫るものとして現場では混乱しています。対象施設はすべての医療機関に加え、介護事業所などにも及んでおり、特にスタッフの少ない無床診療所では体制構築が非常に困難と言わざるを得ません。
このため、保団連情報通信部では、とりわけ困難な条件であろう歯科医療機関に向けたセキュリティ対策について学習会を開催し、現場に沿ったセキュリティ対策を講じることができるよう、今後の協会活動の体制の一助となればと考えております。
そのためにも、9月に実施しました協会への広報アンケートをまとめ、保団連として協会活動や情報発信に向けた課題整理と改善を検討していきたいと思います。
つきましては、下記のような内容で、会員・協会事務局の皆様への広報をご検討頂ますようよろしくお願いいたします。
記
1.日時:12 月 16 日(土)18:00~
2.場所:新宿農協会館8階大会議室 zoom ウェビナー(接続案内は申し込みされた方に後日送付予定)
3.参加対象:保険医協会・医会の会員、事務局(参加費無料)
4.申込方法:
下記 Google フォームにてお申し込みください。
なお、合わせて事前アンケートも行っておりますので、拠点接続であっても、お一人につき1回お申し込み頂きますようよろしくお願いいたします。
forms.gle/afcjcyHtnRt2ijUXA
5.議題:(当日変更の場合があります)
1)開会あいさつ(保団連情報通信部 柴沼 博之部長)
2)ご講演:深津 博 氏(医療 ISAC 代表理事)(90 分程度)
3)質疑応答(30 分程度)
4)その他(30 分程度)
以上