これからの病院経営を考える

第11回 医療機関に求められるサイバーセキュリティ対策【前編】医療機関のサイバーセキュリティ対策の現状と医療情報システムの安全管理に関するガイドライン改定の要点

  • 2023-10-26

アジェンダ

前編

医療機関における脆弱なサイバーセキュリティ対策
国が医療機関へ求めるサイバーセキュリティ対策
安全管理ガイドライン第6.0版のポイント
医療機関がいま着手すべき対策とは

後編

サイバー攻撃向けBCP策定が求められる背景
サイバー攻撃向けBCPの策定ポイント

医療機関における脆弱なサイバーセキュリティ対策

近年、医療機関がサイバー攻撃の標的となる事案が相次いでおり、攻撃を受けた医療機関は通常診療の停止を余儀なくされ、病院の運営および経営に重大なダメージを受けています。

それにもかかわらず、多くの医療機関では本格的にサイバーセキュリティ対策に取り組めていないのが現状です。厚生労働省の調査*1によると、半数以上の医療機関で関連事業者も含めたネットワークの脆弱性対策や安全性の高いオフラインバックアップが実施できておらず、さらに7割以上の医療機関ではサイバー攻撃に関するBCP(事業継続計画)が策定されていないという結果が出ています。サイバー攻撃はどの医療機関でも起こりうる事象であり、各医療機関で対策を進めることが急務です。

図表1 病院におけるサイバーセキュリティ対策に関する実施状況(厚生労働省の調査結果*1を抜粋)

国が医療機関へ求めるサイバーセキュリティ対策

国は医療機関におけるサイバーセキュリティ対策の強化を推し進めており、2023年3月の医療法施行規則の改正により、医療機関の管理者は必要な措置を講じることが義務化されました。また、5月には安全管理ガイドラインが改定され、医療機関等に求められる安全管理措置が最新化されました。

図表2 サイバーセキュリティ対策の近年の動向

安全管理ガイドライン第6.0版のポイント

2023年5月に改定された安全管理ガイドラインでは、これまで示されてきた医療情報システムの安全管理の実効性を高める観点から、各編の前提となる「概説編」、経営層向けの「経営管理編」、システム安全管理者向けの「企画管理編」、システム運用担当者向けの「システム運用編」に分けられました。

特に着目すべきは、経営層向けに遵守すべき事項が明記されたことです。リスク評価や統制、BCPの策定などの遵守事項に関して、システム担当者に任せるだけでなく経営層が責任を持って指示・管理することが明確化されました。

図表3:安全管理ガイドライン第6.0版「経営管理編」における遵守事項概要
分類 遵守事項(要約)
安全管理に関する責任・責務
  • 安全管理に関する法令遵守、組織体制整備、監査実施
  • 情報セキュリティインシデントが生じた場合の、体制構築、原因究明、再発防止策実施
リスク評価を踏まえた管理
  • リスク評価を踏まえた対応方針策定、リスク管理方針決定
  • 情報セキュリティマネジメントシステム(ISMS:Information Security Management System)実践
安全管理全般(統制、設計、管理等)
  • 情報セキュリティ方針を踏まえた情報セキュリティ対策の整備、訓練・教育
  • BCPの整備、訓練・演習実施、改善対応指示
安全管理に必要な対策全般
  • 安全管理に必要な対策項目に関する、具体的方法の整理・対応の指示
医療情報システム・サービス事業者との協働
  • 委託する情報システム事業者に関する、情報セキュリティ資格確認・責任分界・体制管理の指示

また、内容面においては、サイバー攻撃の一層の多様化・巧妙化を踏まえた改定が行われています。
医療機関が利用している外部サービスを経由してサイバー攻撃を受けることもあり、医療機関の責任において適切にリスクを管理し、対策や責任を整理しておくことが必要です。また、サイバー攻撃に加えて、大規模災害やシステム障害など、情報セキュリティに非常事態が発生した際に起こり得ることを具体的に想定し、BCPへの対応やバックアップ等の具体的な対策を場面に応じて整理しておくことが求められています。

図表4:安全管理ガイドライン第6.0版で改定されたインシデント発生に備えた主な対策
分類 対策(要約)
外部サービス利用時の整理
 外部サービス利用に関するリスク・対策・責任の整理
情報セキュリティの考え方 ゼロトラストネットワーク型思考、災害・サイバー攻撃等非常時の対応・対策
新技術等への対応 オンライン資格確認等への対応、新たなネットワーク技術の利用可能性、法令等の規定や技術・規格の動向

医療機関がいま着手すべき対策とは

安全管理ガイドラインと同時に出された「医療機関におけるサイバーセキュリティ対策チェックリスト*2(以下、チェックリスト)」では、医療機関が優先的に取り組むべき事項がまとめられました。チェックリストでは体制構築、情報システムの管理・運用、インシデント発生に備えた対策が具体的に挙げられており、実施時期も示されています。

特に着目すべきは、2024年度中にサイバー攻撃を想定したBCP策定が求められていることです。多くの医療機関において震災等の大規模災害に備えたBCPは策定されていると思われますが、サイバー攻撃に伴う長期間のシステム停止に対して災害向けBCPを適用することは難しく、多くの医療機関では新規に策定が必要となります。

図表5:医療機関におけるサイバーセキュリティ対策チェックリスト項目概要
実施時期 チェックリスト項目(抜粋)
2023年度中
  • 医療情報システム安全管理責任者の設置
  • サーバ、端末PC、ネットワーク機器の台帳管理
  • リモートメンテナンス(保守)を利用している機器の有無の確認
  • サーバに対する、利用者の職種・担当業務別の情報区分毎のアクセス利用権限設定
  • ネットワーク機器に対する、セキュリティパッチの適用および接続元制限
  • インシデント発生時における、組織内と外部関係機関への連絡体制図作成
2024年度中
  • サーバに対する、セキュリティパッチの適用
  • 端末PCに対する、利用者の職種・担当業務別の情報区分毎のアクセス利用権限設定
  • 端末PCに対する、セキュリティパッチの適用
  • インシデント発生時に診療を継続するために必要な情報の検討および、データやシステムのバックアップの実施と復旧手順の確認
  • サイバー攻撃を想定した事業継続計画(BCP)の策定

また、医療法第25条第1項の規定に基づく立入検査要綱に関して、2023年度の立入検査要綱改訂によりチェックリストが検査要綱として設けられ、インシデント発生時における連絡体制図が立入検査時に確認されます。そのため医療情報システムを有する医療機関にとってはチェックリストへの対応は今すぐ着手すべき事項と言えるでしょう。

後編では、PwCコンサルティングが支援した医療機関の事例をもとに、サイバー攻撃向けBCP策定のポイントについて考察します。

後編はこちら

参考資料:

*1:厚生労働省「「病院における医療情報システムのサイバーセキュリティ対策に係る調査」の結果について(病床別分析結果)(2023年5月24日)
https://www.mhlw.go.jp/content/10808000/001100095.pdf

*2:厚生労働省「医療機関におけるサイバーセキュリティ対策チェックリストと立入検査の実施について(報告)」(2023年7月7日)
https://www.mhlw.go.jp/content/12601000/001118553.pdf

執筆者

平川 伸之

シニアマネージャー, PwCコンサルティング合同会社

Email

森田 純奈

アソシエイト, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{contentList.viewAllLabel}}

本ページに関するお問い合わせ

フォーム

関連情報