医療機関はランサムウェアによるサイバー攻撃に対してさらなる対策強化を!
(2024年6月)
5月13日、厚生労働省医政局から、「令和6年度版『医療機関におけるサイバーセキュリティ対策チェックリスト』及び『医療機関におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関・事業者向け~』について」という書類が各医療機関等に向けて一斉に通知されました。*1
昨年6月9日付けで通知されたマニュアルでは、医療機関等のセキュリティ対策のうち「優先的に取り組むべき事項」を示していましたが、令和6年度からは「すべての項目を確認する」必要が生じるため、改訂版を出したと通知しています。
こうした通知を出した背景には、「ランサムウェアと呼ばれるコンピュータウイルスによる被害」が無視できないほどになっていることがあります。
一般企業はもちろんのこと、医療機関でも次々にランサムウェアの被害が報告されています。*2
なかでも2021年10月にランサムウェアの被害がにあった徳島県つるぎ町立半田病院は、有識者会議の調査広告書をHPで公開*3 しており、病院がランサムウェアの被害に遭うとどれだけ深刻な事態となるかが理解できるので、一読をお勧めします。
さて、こうしたサイバー攻撃に備えるために、厚生労働省は様々な対策を行ってきました。それが「医療情報システムの安全管理に関するガイドライン(第6.0版)」*4 であり、医療機関におけるサイバーセキュリティ対策チェックリスト』*5 とマニュアル*6 なのです。
昨年6月の検査から、医療法第25条第1項・第3項に基づく「都道府県による立ち入り検査」に「サイバーセキュリティ対策」の確認が加わっていますが、今回の改訂版のチェックリストをもとにした検査により、医療機関にはさらなる改善が求められるでしょう。
これまで、診療所などでは院長の考え方やICTスキル次第で、どの程度の「セキュリティ対策」をするかが左右されていたと思いますが、今後は、院長自らが先頭に立って、しっかりとしたセキュリティ体制の構築が急務となります。
とはいえ、セキュリティ対策を完全外部委託するとかなりの費用になります。しかしマイナ保険証が導入されたことで、サイバー攻撃はどの診療所にも起こりえる状況になっています。
どこまで外部サービスを利用するかなどの整理を早急に行い、サイバー対策のBCP策定を進めていただきたいと思います。
(文責:ブランディング・エディター 内田朋恵)
*2「日本の医療機関におけるサイバー攻撃の事例」(日本医師会総合政策研究機構・最終閲覧日2024年5月26日)
*3「徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について」つるぎ町立半田病院HPより(最終閲覧日2024年5月26日)
*4「医療情報システムの安全管理に関するガイドライン(第6.0版)」厚生労働省HPより(最終閲覧日2024年5月24日)
*5「令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリスト」(最終閲覧日2024年5月24日)
*6「令和 6 年度版 医療機関におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関・事業者向け~」(最終閲覧日2024年5月24日)