厚生労働省ロゴ
文字サイズ

医療機関を取り巻く情報セキュリティ対策の現状

情報セキュリティ対策はシステムを利用する全職員で対応すべき問題

例えば、普段使うパソコンが、ある日突然見たことのない画面に変わっていたら、あなたはどう対応しますか?

対応方法は把握されていますか?
院内で対応方法は構築されていますか?
情報システム部門に電話しますか?

原因は、あなた宛に届いたウイルスが添付されたメールを開いてしまったからかもしれません。もしくは、システムの脆弱性を狙って、外部の誰かが内部システムに侵入し、攻撃をしたのかもしれません。

最近ではこのような外部からの攻撃により、医療情報システムが停止し、診療ができなくなった事例も発生しています。いずれにせよ、病院の情報セキュリティ対策は情報システム部門だけの問題ではなく、システムの利用者である経営層、医師、コメディカル、事務スタッフ等の全てのシステム利用者の問題です。

「予防できる疾病(コンピューターウイルス)」は可能な限り予防し、発症(感染)してしまった時の対応を事前に検討し、訓練することが、情報セキュリティ対策においても重要です。

情報セキュリティインシデントとは何か

院内の情報化の進展により、医療機関は様々な情報システムの導入や院外ネットワークとの接続を行っています。院内における情報セキュリティ対策が不十分である場合、様々な情報セキュリティインシデントリスクの脅威にさらされている可能性があります。

例えば、医療機関における情報セキュリティインシデントとしては以下のようなことが考えられます。

①外部事業者等によるミス・不正
診療系ネットワークはクローズドなネットワークであるが、クラウドサービス、保守事業者等との接続回線から侵害される可能性がある。侵害された場合、システム内にて、データの窃取や漏えい、破壊等の横断的侵害行為が行われる可能性がある
②職員によるミス
USB機器や端末等の紛失による情報漏えいの可能性がある
③内部不正
業務とは関係のない患者のデータ参照、機密情報・個人情報等の持ち出しが考えられ、情報流出の可能性がある
④外部からの攻撃
ランサムウェアと呼ばれるマルウェア「WannaCry」が代表的。感染すると端末ロックやファイル暗号化により端末が利用不能となる。また、感染した業務端末から、攻撃可能な端末等を検索し、自ら拡散する性質を持っていることから、他の業務端末にも感染が拡大する恐れがある

従来は、「職員によるミス」「内部不正」が多くみられましたが、近年は「外部からの攻撃」つまり「サイバー攻撃」が増加傾向となっています。

近年増加しているサイバー攻撃

医療機関の情報化に伴う業務環境の変化に対して十分な対策がとれていないことや、攻撃者の手法の進歩により、情報セキュリティインシデントは増加傾向にあります。

医療機関における情報化の動向

情報セキュリティ対策は、情報システム部門の課題だけではなく、医療機関の事業継続や存続に影響する経営課題でもあります。

情報セキュリティ対策における構成

情報セキュリティ対策における構成は、「組織的対策」「人的対策」「技術的対策」「物理的対策」であり、患者への医療サービスの品質向上(医療安全対策)においても、同様の構成です。

情報セキュリティ対策は、患者への医療サービスの品質向上(医療安全)と同様に、各職種で対応する必要があり、 「組織的対策」「人的対策」「技術的対策」「物理的対策」のうち、いずれかの対策が欠けても、全体の有効性は欠けた部分と同じく、最も低い水準となります。

情報セキュリティ対策の構成と対策例

情報セキュリティ対策の構成と対策例

これから対策を実施する場合
最初に講じる対策は、組織的対策となる「情報システム部門、または、担当者」の設置です。情報セキュリティは、専門領域であり組織的対策を病院内部で講じることが難しい場合、アウトソーシングサービスへの相談・委託を含めて、対策の検討を行うことが望ましいでしょう。

対策を実施済の場合
情報セキュリティ対策の対応ができている場合は、情報システム監査を受審することで、情報システム運用管理に関する継続的な管理を実施することが望ましいでしょう。

情報セキュリティ対策の必要性を理解し、「経営層」「情報システム部門」「システム利用者」について、自らが継続的に対策を講じることが必要不可欠であるといえます。

TOPへ戻る
ページの先頭へ戻る