【医療介護変革とセキュリティ】サイバー脅威 組織で防衛 進むDX、安全性で担保
DX化、データヘルス計画に向け、医療・介護業界では変革が進む。変革は可能性を広げる一方、セキュリティリスクも伴う。昨年は医療機関へのサイバー攻撃事例が世間を騒がせた。ITの目まぐるしい変化も予測される中、今、介護業界に求められるサイバーセキュリティについて考察したい。
利便性・コストに課題
増えるサイバー攻撃
2022年10月、大阪急性期・総合医療センター(865床)で発生したサイバー攻撃とそれによる大規模なシステム障害は記憶に新しい。委託先の給食事業者のシステム経由で、同院の電子カルテの基幹システムがランサムウェア(身代金要求型コンピューターウイルス)に感染。データが暗号化され、全体の診療システム復旧までに数ヵ月を要した。診療制限に伴う逸失利益を含めると、損害は数十億円に上ると見られている。
近年脅威となっているウイルスが、このランサムウェアだ。警察庁によれば、22年の医療・福祉分野におけるランサムウェアによる被害件数は20件。全産業では230件で、これは前年比57・5%増の数だ。
「昨今は、サプライチェーン(経済活動における供給連鎖)における脆弱性を狙った攻撃が増加傾向にある」と日立システムズ主任技師の秋山梓氏は語る。サプライチェーン上の企業が相互にシステム上で接続している場合、セキュリティ対策の範囲は自社のみならず、取引関係にある企業全体に及ぶ。この対策の弱点を突いたのがまさに前述の大阪の事例といえる。
こうした事態を受け、厚生労働省は22年11月に、医療機関に向けサプライチェーンとの接続状況の見直し、取引先のシステムまでの見直しを喚起している。

出所 : 厚生労働省
医療分野の国の施策
医療分野において、厚労省は従来、内閣サイバーセキュリティセンター(NISC)と連携し、サイバーセキュリティ基本法に基づく行動計画に沿った対策を講じてきた。
その一環として05年より、セキュリティ対策の安全基準などを定めた「医療情報システムの安全管理に関するガイドライン」(以下・本ガイドライン)を事業者向けに策定・周知している。「組織体制の構築」「アクセスの制御」「Io T機器などの管理」「パソコンの機器などの外部持ち出しに関する規程の整備」「個人所有の情報端末使用の原則禁止」「サイバー攻撃対策」「情報バックアップ」など、情報の安全管理に必要となる項目を広く規定。各種制度動向やウイルスの進化などに応じ改訂を重ねている。
高まる対策の必要性
本ガイドラインは、17年策定の第5版から、介護事業者も対象となった。
「介護事業者が保有する利用者情報などは、高度な配慮を要するもの。漏洩した場合、個人情報保護法違反などの問題となる」と大塚商会・マーケティング本部係長の延下悟志氏は対策の重要性を指摘する。
「医療介護施設が、日々サイバー攻撃を受けている実状も把握すべき」と語るのは、医療・介護事業を多拠点で展開するおもと会(那覇市)理事の石井隆平氏。「グループでも、年間約5000回以上のアタックを受けている」という。
さらに、サプライチェーンを狙う攻撃が増加する中、医療介護連携は対策の必要性を強める。厚労省は「医療DX」を掲げており、電子カルテやケアプラン、要介護認定、請求、LIFEなどの情報共有基盤「全国医療情報共有プラットフォーム」の構築に伴う対策は避けては通れない。
「技術と人」で対策を
しかし、セキュリティが強固になることは業務手続が煩雑になるなど諸刃の剣の部分もある。また、対策のコストもネックだ。専任職員の配置や教育に加え、ウイルス防御や、検知、保守などのサービス導入には一定の費用がかかる。
医療業界においてもこの点は既に指摘されている。日本医師会常任理事の長島公之氏は「医療機関には対策を行うための人材・教育・費用が乏しい。国の施策としての補助金を強く求めたい」とする(23年4月26日中央社会保険医療協議会)。
事業者には、技術的対策をうまく取り入れたコスト管理も求められる。「セキュリティソフトが、人件費削減になる場合もある」(JAHIS茗原秀幸氏)
一方で、技術頼みの対策では万全とは言えない。「情報漏洩の約9割は人的な要因といわれる。職員教育を徹底し、まずは人的対策を図ることが重要」(おもと会・石井氏)
負担を理由に対策を怠れば業務継続を脅かす事態となりかねない。事業者に体制構築が求められるのはもちろん、国による支援の拡充も急務と言えそうだ。
■□■□■□
体制構築、事業形態に合わせ
保健医療福祉情報システム工業会(JAHIS)茗原秀幸セキュリティ委員長-scaled-e1684408690723-236x300.jpg)
(一社)保健医療福祉情報システム工業会(JAHIS)
茗原秀幸 セキュリティ委員長
病院やクリニック、薬局などでは、本ガイドラインを通じ、各事業者が安全管理のもと医療情報を電子的に保存するよう示されてきた。
さらに昨年には病院などの医療機関へのサイバー攻撃が相次いだことを受け、2023年4月より医療機関のサイバーセキュリティ対策が医療法で義務化されるなど、規制を強化している段階といえる。
地域包括ケアシステム推進に伴い、医療・介護に横断したシステム体系のどこか1ヵ所にでも攻撃を受ければ、システム全体に波及しかねない。医療・介護事業者のセキュリティ対策の重要性が増している。
本ガイドラインで示される対策の要素は、①セキュリティソフトや保守サービスなどの「技術的対策」と②情報を安全に運用する組織体制を整える「運用的対策」――の2つ。
技術的対策に関しては、導入したシステム、各種機器等の「脆弱性」が放置されないよう、常に情報収集を怠らず、定期的にアップデートすることなどが求められる。特に、NISCや独立行政法人情報処理推進機構(IPA)などが発する脆弱性情報には、ベンダー、事業者共に目を配っておくことが必要だ。
運用的対策としては、BCPの策定や非常時用ユーザーアカウントの設定、非常時の意思決定の準備、責任者の選定などが当たる。組織の規模や予算、取り扱う情報の種類、出入りする人の規模などを踏まえ、この2つの対策を組み合わせることが重要。大規模な老人ホームと少規模のデイサービスとでは対策も変わってくるだろう。
また、セキュリティソフトなどの導入はコストがかかるとの先入観が抱かれる傾向があるが、技術的対策をしない分、かえって人件費などがかかるケースもある。技術的対策のコストと人件費などの見えない運用コストを比較し対策を練ることも重要だ。
■□■□■□
ICT活用、対策が前提

大塚商会 営業本部・本部SI統括部
矢沢幸展 グループ長
LIFEやケアプランデータ連携が進み、自社のシステムと外部の接点が当たり前になり、結果としてサイバー攻撃の対象となる危険性が高まっている。また、複数の事業所を展開する法人が、VPN接続(複数の拠点間で通信できる仮想専用ネットワーク)で事業所間をつなぐネットワーク構築が増えている。ネットワークが広域化するほど攻撃のリスクは高まるだろう。
ランサムウェアなどに感染すれば、データの暗号化や、長期間のシステム停止を伴う状況に陥るなどの可能性もある。外部からの侵入を防ぐためにネットワーク機器や端末の脆弱性への対策を施すだけでなく、侵入されることを前提に、侵害を受けた端末を隔離する(EDR)など、さまざまな対策を検討する必要がある。
当社では、セキュリティ対策にあたり、①ユーザー特定(なりすまし対策やモバイル端末の一元管理)②ウイルスの侵入検知・防御③侵害を受けた端末やネットワークの隔離④データ復旧・バックアップなどの事後対応⑤スタッフ教育――という5つの要素をフレームワークに掲げている。どれかが1つ欠けているだけでも危険だ。
大塚商会では、セキュリティ機器の提供だけでなく、機器の運用代行まで実施する。例えば、「らくらくFirewall」というサービスでは、24時間365日の遠隔監視、ファームウェアのバージョンアップ作業を代行するほか、ログを収集・分析し、重要度の高い事象が発生した際はメールで知らせる。
今後介護業界では、ICTやIo T機器、ロボットなどの活用が不可欠となるが、Wi – Fi環境下でのスマホ利用や見守りセンサーの導入などに際しては、必ずセキュリティ対策も一緒に検討する必要があると考える。当社では、どこまで対策をすべきか、規定整備や職員教育についての相談も受け付ける。

出所:大塚商会提供資料
■□■□■□
緊急時対応整理を

日立システムズ セキュリティサービス事業部
秋山梓主任技師
外部からのサイバー攻撃や、内部の被害拡大を防ぐには、セキュリティソフトや監視システムの利用は効果的だ。また、侵入経路を広げないよう、システム上の不必要な接続を増やさないなどの対策が必要。例えば、従業員の私物のパソコンを接続させない、退職従業員のアカウントはすぐに削除するなど。
加えて、事業者としては、被害を確認した後にスムーズに動ける体制を整えておくことが重要。被害が拡大しないよう攻撃を受けたシステムや機器を素早く切り離せるよう備えておく必要がある。そのためにはまず、事業者は「どのようなシステム、機器をどこで使用しているのか」「システム上で管理している情報・データはどこに保存しているのか」を把握できるよう、導入しているサービスをリスト化しておくことなどが不可欠だ。緊急時の問い合わせ先なども整理しておく必要がある。
システムに付帯するセキュリティサービスなどを利用する際も、契約上ベンダーからどこまでのセキュリティ対策支援を受けられるのか、事前に確認しておくべきだ。
日立システムズでは、多業種に向けて20年以上、セキュリティソリューション「SHIELD」ブランドで、システムの設計構築から運用監視、インシデント対応までの技術的支援をしてきた。同時に、アナリストを中心として、運用や組織体制構築の支援も行ってきた。
技術的対策も重要だが、システムを動かす「人」による対策という視点は欠かせない。これが、20年支援をしてきた中で得た1つの知見だ。
当社では、セキュリティに関する専門的な知見を持つ人材を育成し、業種ごとにインシデント時に迅速に動けるチームを編成する。「Human *IT」を事業ブランドとする当社では、技術に加え、多彩な〝人財〞の力を重要視し、DXを支援していく。