「もしものリスク」サイバー攻撃を防ぐには？

2023年4月からオンライン資格確認を導入することが原則として義務付けられ、マイナンバーカードと健康保険証を一体化した「マイナ保険証」利用時のトラブルがニュースになっています。

「マイナ保険証」問題はいずれ落ち着くとしても、外部ネットワーク接続をしている医療機関のセキュリティリスクは常に存在します。たとえば自院がサイバー攻撃を受け問題が発生した場合、オンライン資格確認のネットワークから遮断され、受付業務が制限されてしまい、通常の営業が行えなくなる可能性があります。

一般的にリスクへの対応として、頻度が高く損害が小さいリスクは保有すべきで、頻度は低いが大きな損害になるリスクは移転すべきとの考え方があります。例えば、前者はプリンタの故障、後者は電子カルテシステムが使用できなくなることです。前者は買換えをする、後者は保守契約やサイバー保険に加入するなどの対策を取ることになるでしょう。

当会では、サイバーリスクは移転すべきリスクとの考えで、“サイバー保険”の活用をお勧めします。

サイバーリスクの予防

サイバーリスクによる経済的な損害に対しては、サイバー保険である程度のリカバリーはできますが、患者からの信頼の回復は簡単ではありません。サイバーリスクの最重要の対策は予防です。

まずできることとして、厚生労働省が策定したサイバーセキュリティー対策チェックリストによる自院の状況把握をしましょう。下表の項目1つ1つチェックし、実施できていなければ「いつまでに実施するか」を検討し、全項目を完了することを目指します。

医療機関確認用サイバーチェックリスト

出典：厚生労働省社会保障審議会医療部会資料「医療機関におけるサイバーセキュリティー対策チェックリストと立ち入り検査の実施」2023年7月7日付

項目の中にデータやシステムのバックアップがありますが、いざ機器を購入しようとしても半導体不足で入手しづらいかもしれません。また問題が生じた際に、調査のためにディスクそのものの提出を要求される可能性があります。予備としての外付けHDD等の保存媒体なども含め、早めに手配しておくのが良さそうです。

チェックリストはITの専門用語があってわかりづらいかもしれませんが、「医療機関におけるサイバーセキュリティー対策チェックリストマニュアル～医療機関・事業者向け～」を参考に、わからない点は医療システムベンダーや販売代理店などに確認しながら、チェックをしましょう。非常時のサイバー攻撃などへの対応では、通常の担当者だけでは対応できない可能性がありますので、事業者の非常時の体制を事前に確認しておくことも重要です。

日医総研のレポートでは、サイバー攻撃を想定した事業継続計画（BCP）の策定が有事に役立つことが記載されています。サイバーリスクに対する職員の意識を高めるためにも、早めに作成に取りかかるのが良いと思います。

厚生労働省が実施した調査*によれば、サイバー攻撃などによるシステム障害発生に備える内容を含んだBCPを策定している医療機関を病床規模別にみると、20～99床：14％、100～199床：21％、200～299床：24％、300～399床：32％、400～499床：38％、500床以上：45％でした。

このうちBCPで策定した対処手順が適切に機能するか、訓練などで確認している医療機関は、全ての病床数区分で30～40％程度のようです。規模の小さい病院で実際にインシデントが発生した場合、充分な対応がとれるところはごく少数でしょう。なお診療所は調査外ですが、人員体制から推察すると心許ない状況だと思われます。

＊2023年1月27日～3月15日実施

法律上の責任は？

都道府県が実施する医療法第25条第1項の規定に基づく医療機関への立ち入り検査は、このチェックリストを基に実施されます。ただ検査に関係なく、個人情報保護法や医師法・歯科医師法による行政法上の責任の他に、民事上の責任（診療契約及びこれに関する安全配慮義務）、刑事上の責任（秘密漏洩罪等）など、医療情報を取り扱う医療機関の管理者としての法律上の責任は非常に重いため、早々の対策の実施をお勧めします。