医療機関における個人情報保護への対応
Personal Information Protection
医療機関を標的としたサイバー攻撃に注意
近年、医療機関を標的としたランサムウェアを利用したサイバー攻撃による被害が増加しています。徳島県の病院では、情報システムを使用不可の状態にした上で身代金を要求するといった手口により医療機関に多大な損失を与えた事例も出ています。このような状況を受けて、令和3年12月、厚生労働省より以下のとおり事務連絡が出されています。
- <1>リモート接続等に利用される、SSL-VPN装置(特にFORTINET社製)の脆弱性が悪用される事例が増えていることから、機器を納品した事業者等への確認や機器の内容に更新がないか点検して早期に対応してください。
- <2>ランサムウェアを利用したサイバー攻撃により情報が失われる事案が発生していることから、「医療情報システムの安全管理に関するガイドライン第5.1版」の「7.2章 見読性の確保について」(バックアップの作成、バックアップからの閲覧の確保)及び「7.3章 保存性の確保について」(バックアップおよび履歴の保存)を参考に、バックアップを作成してください。
- <3>サイバー攻撃により医療情報システムに障害が発生した場合は、厚生労働省に連絡してください。
- <4>「医療機関のサイバーセキュリティ対策チェックリスト」及び「医療情報システム等の障害発生時の対応フローチャート」を活用いただき、対策に役立ててください。
徳島県内の病院での事例概要
2021年10月、徳島県内の病院でランサムウェアン攻撃を受け、突然、電子カルテ等の院内データが消失その後、病院に「データを盗み暗号化した。金を支払わないと公開する」といった内容の文書が届くすでに院内では、電子カルテにアクセスできない状態となっていた
バックアップ用も含めて、院内のサーバーのデータはほぼ暗号化され、受付、診察、会計まで、すべてのシステムがダウンし、病院は混乱に陥った
病院のあらゆる電子システムがダウンしたことにより、約8万5,000人の電子カルテが使えなくなった
診療への影響は大きく、システムが使えなくなったことで、受付や診察にかかる手間が大幅に増加し、救急を含む新規の患者は受け入れを中止せざるを得なかった
院内では、事務職員が、患者一人ひとりから名前、年齢、病歴などの情報を聞き取り、紙カルテを作成するなどの作業に追われた
病院は身代金は支払わないことを決め、約2億円をかけ、1からシステムを構築した
このように、医療情報の漏洩や医療提供体制に影響が生じた事例もあり、医療機関を中心とした医療分野のサイバーセキュリティ対策の強化は、より一層重要な取組となってます
各医療機関におかれては、以下のガイドラインを参考に、院内での検討をお願いいたします。
また、「医療機関のサイバーセキュリティ対策チェックリスト」及び「医療情報システム等の障害発生時の対応フローチャート」を活用いただき、対策に役立ててください。