医療機関における情報セキュリティの重要性について(2)
~医療機関での感染事例とセキュリティ対策状況~
医療セミナーについて(2019年6月開催分)【後記】(第2回)
2019年10月

執筆者:株式会社アイ・ピー・エム
    代表取締役 田中 幸三(たなか こうぞう)氏

はじめに

今回も、前回に引き続き、社会医療法人祐生会みどりヶ丘病院で院内の情報管理をされている田中龍也氏が講演された【医療機関における情報セキュリティの重要性について】から、「コンピューターウイルスの脅威とは」と「事例紹介」、「医療機関のセキュリティ対策状況は」、「まとめ」について記述したい。

【目次】

  1. 情報セキュリティを気にしなければならない
  2. 情報セキュリティの脅威とは
  3. コンピューターウイルスの脅威とは
  4. 事例紹介
  5. 医療機関のセキュリティ対策状況は
  6. まとめ

3.コンピューターウイルスの脅威とは

3-1.コンピューターウイルスと感染経路

ウイルスやワーム、トロイの木馬など、悪意を持ったソフトウェアを総称して「マルウェア」と呼ぶ。

ウイルスは単体で動作せず、ファイルやプログラムに寄生して活動するが、ワームは単体で動作し、自己増殖を行うとともに、感染力が高く大規模感染を起こす。また、トロイの木馬はプログラムやファイルに偽装する。自己増殖はせず、感染機能は持たない。感染経路としては、電子メールや不正サイトへのアクセス、USBメモリ等の外部記録媒体が主なものとして挙げられ、それ以外にもネットワーク経由やファイル共有ソフト、フリーソフトのダウンロードなどでも感染が起こる可能性がある。

3-2.情報セキュリティ対策

情報セキュリティ対策には、「技術的セキュリティ」「物理的セキュリティ」「人的・組織的セキュリティ」の3つが考えられる。

(1)技術的セキュリティ

ネットワークやサーバー、PC、情報技術を用いて守る手法である。

技術的対策として、ウイルス対策ソフトの導入、UTM(統合脅威管理)導入、メディアセキュリティ(USBメモリ等の管理)の実施、資産管理システムの導入などがある。

※UTM(統合脅威管理)
ファイアウォール、IDS/IPS、ウイルス対策、URLフィルタリングなど複数のセキュリティ機能を備えており、個別のセキュリティ製品を導入する場合と比べ、費用と運用負荷を抑えて総合的なセキュリティ対策を実現

(2)物理的セキュリティ

災害や人的破壊などから施設や設備などを物理的な方法で守る手法である。

物理的対策として、耐震構造やサーバー室の上部階への設置、入退室管理や機密文書の鍵付き棚への保管などがある。

(3)人的・組織的セキュリティ

情報資産を取り扱う手続きやルール及び責任体制の確立などがある。

人的・組織的対策は、組織が人間で形成されている限りは切っても切れないものではあるが、これに対応する即効性のある対策はない。なぜならば、人間個々の持っている情報リテラシー(情報活用能力)の差が、その原因の一つにあるためである。

脅威に対して重要な事は、どのような脅威が存在し、どの程度の脆弱性があるかを確認した上で、情報資産に対してのリスクを想定し、適切な対策を実施することである。IT人材の育成や専門家への相談が重要なポイントとなる。

4.事例紹介

【事例1.海外での感染例】

ランサムウェア被害のため院内ネットワークがダウンし、システム復旧のためハッカーに40ビットコインを支払った。その後、ネットワークは復旧し、情報流出はなかったと発表した。

【事例2.日本での感染例】

大学病院で医療用パソコン2台がウイルスに感染。患者1名分ずつの個人情報が格納されていた。情報漏洩は確認されていないが可能性は高い。

【事例3.日本での感染例】

大学病院の情報システムがウイルス感染。パソコン1,000台以上が感染し、サーバーにも感染したため診療業務に支障が発生した。個人情報の外部流出と医療安全上に問題はなかった。

その他、意外なところとして「医療機器」についても注意が必要である。

アメリカでは、胎児モニタへの感染が確認された。日本でもUSBデバイス経由で医療機器へのウイルス感染が発生した。また、ペースメーカーの脆弱性の指摘や、インスリンポンプへのハッキングなども起こっている。

5.医療機関のセキュリティ対策状況は

トレンドマイクロ社によると、「医療業界においてサイバーセキュリティを事業継続上・組織運営上のリスクとして十分理解しているか?」「自組織のセキュリティ対策に積極的に関与しているか?」の設問に対し、認識を持つ経営層・上層部がいる医療業界組織は、なんと14.8%しかなく、セキュリティに関しての理解と関与が薄いことがわかった(法人組織におけるセキュリティ実態調査2017から)。

また、「昨今に制定・改正された法規則を十分に反映させているか?」の設問に対しては、個人情報保護法改正対応が32.4%であったとのことである。

今後、マイナンバーの健康保険証への採用・普及が急速に進むことで、新たな法制化の波が訪れることが容易に考えられることから、これらへの迅速な対応が肝心となる。

その他に気を付けなければいけないこととして、成りすましメールの受信、ランサムウェアによる感染や不正サイトへのアクセス、リムーバブルメディアの紛失や盗難等があげられる。

当然のことながら、職員や従業員に関する個人情報漏洩を含め、患者情報に関する漏洩にも注意を払う必要がある。

もし万が一、情報を流出させてしまった場合は、インシデントに関する調査費用に加えて、担当者の補強やシステム改修及びシステムやサービスの稼働停止などのコストが発生する。トレンドマイクロ社によると、年間平均被害額は2億4,750万円にも達するとのことである。何らかの対策を実施することで、この被害を発生させないことが重要である。

6.まとめ

情報セキュリティが必要な理由を理解する

日本でも被害は出ており、海外だけの話ではない。病院運営・経営の両方にとって脅威であるということを理解する。

脅威が存在するかどうかを調べる

PC、ネットワーク、施設、職員など、調査と教育を実施する。

見つかった脅威に対しての対応をする。

医療機器管理端末は、要注意である。どこの医療機関においても情報セキュリティの問題は発生しており、早期発見と早期対策が何より重要である。

今回は、医療機関における情報セキュリティの重要性について記述した。

少しでも皆様のお役にたてれば幸いである。

「病院経営を見える化する」関連記事はこちら

上へ戻る