Written by ねこずきのねこ。
広報・販売企画・販売パートナー様支援を経て、現在プロダクトPRに携わる。
目 次
1. 医療業界のICT化に伴い急増するサイバー攻撃
2. 医療情報の安全管理対策に特化した「3省2ガイドライン」とは
3. 医療情報システムの安全管理に関するガイドラインとは
4. LANSCOPEプロダクトで実現する医療業界の安全管理
急増する医療業界へのサイバー攻撃に備える! 3省2ガイドラインが示す医療情報システムの安全管理を解説
医療業界へのサイバー攻撃対策って何をすれば?!医療業界のセキュリティインシデントを防ぐ3省2ガイドラインを解説します
今、様々な業界でサイバー攻撃による被害が多発しています。IPAの「セキュリティ10大脅威2022」でも「ランサムウェア攻撃」が第1位にランクイン、実際に最凶マルウェア「Emotet」も再燃・猛威を振るっています。増え続けるサイバー攻撃のうち、特に顕著なのが医療業界です。2021年末から医療機関へのサイバー攻撃が激化、多くの被害が発生しているため対策が急務です。とはいえ、本来の業務と全く異なるため、対策コストの問題や知識不足などで、その対応は難しい場合があります。
今回は、急増する医療業界へのサイバー攻撃を含む様々なセキュリティインシデント対策として、何をなすべきか指標となる「3省2ガイドライン」をご紹介。主に医療現場向けの「医療分野の情報システムにおけるガイドライン(厚生労働省策定)」をご紹介すると共に、具体的にツールを用いることでどのように対策できるのかLANSCOPE・CPMSを例にご紹介します。
1.医療業界のICT化に伴い急増するサイバー攻撃
昨今、業務効率化などを目的に国を挙げてDXが推進されています。医療業界も例外ではなく、2024年の医師への残業規制の適用に向け、医療従事者の「働き方改革」に伴う業務効率化などを目的としたICT化が進んでいます。その代表的なものが電子カルテです。電子カルテの導入は診療記録の電子化により、受付や会計業務を効率化したり、カンタンにレセプト作成ができたりと医療関係者の業務負担を軽減に貢献します。一方で電子カルテのデータは非常に機密性が高く、取り扱う個人情報もセンシティブなものばかりです。実は今、この医療情報(電子データ)に関連するインシデント事故が急増しています。
その原因の多くが医療機関を狙ったサイバー攻撃によるものです。2022年末に発生した徳島県の病院へのランサムウェア攻撃を皮切りに次々と医療機関が狙われており、3月には厚生労働省が情報セキュリティに関する改定指針を発表しました。海外でも赤十字国際委員会(ICRC)がサイバー攻撃に遭い約52万人の人々の個人データが侵害されたと発表しています。
また医療機関はコロナ禍で多忙を極めるため、人命を優先するのではという攻撃者の意図もあるとも考えられます。またコスト削減の観点から、古いVPN機器などが使われ続ける傾向にあることも要因となっています。センシティブな情報を取り扱う医療業界だからこそ、狙われやすく対策が求められます。
2.医療情報の安全管理対策に特化した「3省2ガイドライン」とは
医療業界における電子データの安全管理ついては、各省庁がガイドラインを策定しています。「厚生労働省」「経済産業省」「総務省」の3省が電子データの安全管理の観点から、ガイドライン化したもので、「3省2ガイドライン」と呼ばれています。3省2ガイドラインは下記の構成となっています。
| 厚生労働省 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)
|
|---|---|
| 経済産業省・総務省 | 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(令和2年8月)
|
従来は、「経済産業省」と「総務省」が個別のガイドラインを策定していたため「3省3ガイドライン」と呼ばれていました。しかしシステムのクラウドサービス化が進んでいることを受け、事業者の効率的なガイドライン対応を目的に、2020年8月から「経済産業省」と「総務省」のガイドラインが一本化、現在の「3省2ガイドライン」となりました。各ガイドラインの特長は下記の通りです。
厚労省
「医療情報システムの安全管理に関するガイドライン」
患者や介護サービス利用者の個人情報を取り扱う医療機関・薬局・介護事業者向けのガイドラインです。個人情報保護法や電子帳簿法などの法令に基づき策定されています。医療情報の電子化に伴う安全管理について詳細に示しており、具体的に対策が明記されています。
総務省・経産省
「医療情報を取り扱う情報システム・サービス提供事業者における安全管理ガイドライン」
医療・介護情報システムやサービス提供事業者、医療情報などを預かる事業者など直接・間接的に業務に携わる事業者全てが対象となるガイドラインです。医療情報の安全管理に関して、医療機関・事業者が担うべき義務・責任を策定しています。インシデント発生時の対応方法が示してあり、各プロセス沿った対策が明記されています。
参考:厚生労働省「医療情報システムの安全管理に関するガイドライン 第5.2版」
総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
3.医療情報システムの安全管理に関するガイドラインとは
ここからは医療機関・薬局・介護事業者が、安全管理のために具体的にどのような対策を行うべきか、厚生労働省「医療情報システムの安全管理に関するガイドライン」について解説します。
厚生労働省「医療情報システムの安全管理に関するガイドライン」は、令和4年3月に最新版として改訂、5.2版が策定されています。1章~10章で構成されており、各章ごとに要求事項や考え方が記載されています。「医療情報システムの安全管理に関するガイドライン」の最新5.2版では、昨今の市場動向や医療業界を取り巻く情勢を加味した改定がなされています。
| 1章~6章・10章 | 医療情報を扱うすべての医療機関が参照すべき内容 |
|---|---|
| 7章 | 保存義務の在る診療記録を電子保存する場合に参照すべき内容 |
| 8章 | 保存義務の在る診療記録を外部保存する場合に参照すべき内容 |
| 9章 | e-文書法に基づき電子化して保存する場合の指針 |
「医療情報システムの安全管理に関するガイドライン5.2版」4つの改版ポイント
①ランサムウェア対策(6.2章/6.10章)
ランサムウェア攻撃への対応としてバックアップの在り方などを明示。インシデント発生時に速やかに対策を取れるよう、医療情報システムに関する構成図や、ISMSの実践時・災害やサイバー攻撃等の非常時のシステム責任者の対応義務などについて明記されている。
②医療システムと連携する外部サービス・アプリの安全性(6.5章/6.9章)
安全に管理された環境において、許可したサービスやアプリケーションが利用されているか示すよう追記。BYODの利用において具体的な対策を示すと共に、外部ネットワーク利用時の管理責任が明記されている。
③電子署名に関する記載の整理(6.12章)
リモート署名など新形態を受け改版。文書の作成時に資格が必要となる際の署名について要件を明示。その他、長期保存文書に求められるタイムスタンプについてや、暗号アルゴリズムの参照規格をJISからISOの変更などが実施・反映されている。
④対応ガイドラインは2つの基準を掲載
さらに予てから課題となっていた「分かりづらさ・対策のしづらさ」を解決すべく、「最低限のガイドライン」と「推奨されるガイドライン」の2項目に分類。医療機関の管理状況や対策基準に合わせて選択・実践できるようになりました。
また、安全管理に欠かせない基本的な考え方として押さえておきたいのが、6章で示されている「情報セキュリティマネジメントシステム(以降ISMS)」の実践です。ISMSとは「安全対策を行い、情報漏えいなどのインシデントリスクを低減させるための仕組み」のことを指します。医療機関毎のオリジナルな管理体制を構築しようとすると非常に工数が掛かります。しかしISMSというルールに沿うことで負担が軽くなるメリットがあります。
4.LANSCOPE・CPMSで実現する医療業界の安全管理
ここからは、ガイドラインで提唱されている安全管理に関して、エンドポイント管理ツール「LANSCOPE」、AIを活用したマルウェア対策ツールの「CPMS」で行える対策を一部抜粋してご紹介します。急増している医療業界へのサイバー攻撃対策にも有効です。
クリアスクリーンの対策
医療情報システムの基本的な安全管理(6.5. 技術的安全対策)に、「利用者が個人情報を入力・参照できる端末から長時間離席する際に、正当な利用者以外の者による入力のおそれがある場合には、クリアスクリーン等の対策を実施させること」と示されています。LANSCOPEでは、配布機能でスクリプトファイルをクライアントPCに配布・実行することにより、スクリーンセーバーを設定させることが可能です。
アクセスログ・操作ログの取得
医療情報システムの基本的な安全管理(6.5. 技術的安全対策)に、「アクセスログを記録するとともに、定期的にログを確認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及びログイン中に操作した医療情報が特定できるように記録すること。」と示されています。LANSCOPEでは、いつ・どこで・誰が・どのくらい・何をしたのかをログとして取得できます。取得したログの活用方法は多岐にわたります。操作ログは最大5年分保存が可能なため、「ログを後追いしたい」「探したい」などの場合、検索条件の保存やテンプレートが活躍します。
不正なソフトウェアの混在を防ぐ
医療情報システムの基本的な安全管理(6.5. 技術的安全対策)では、「常時不正なソフトウェアの混入を防ぐ適切な措置をとること。また、その対策の有効性・安全性の確認・維持(例えばパターンファイルの更新の確認・維持)を行うこと。」「メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれるデータやファイルの送受信禁止、又はその実行停止の実施、無害化処理を行うこと。」とされています。CPMSではAIを活用した高精度なアンチウイルスで防ぐことが難しいとされる未知のマルウェアなどのウイルスから99%の高検知で保護します。
情報持ち出し対策(盗難・紛失対策)
医療情報システムの基本的な安全管理(6.9. 情報及び情報機器の持ち出し並びに外部利用について)では、「7. 盗難、置き忘れ等に対応する措置として、情報に対する暗号化やアクセスパスワードの設定等、容易に内容を読み取られないようにすること。」とされています。LANSCOPEではWindowsのBitLocker、macOSのFileVaultなどドライブ/ディスクの暗号化機能の運用を支援。万が一の紛失時には位置情報を取得し盗難・紛失した機器の捜索から、リモートロック・ワイプ機能で、第三者への情報漏洩を防止できます。
他にもLANSCOPE・CPMSでは、様々なガイドライン対応が可能です。LANSCOPE・CPMSガイドライン対応表をホワイトペーパーに掲載しておりますので、是非対策の参考にしてみてください。また、医療業界特有のネットワーク構成においてもLANSCOPEは柔軟に対応が可能です。電子カルテネットワークのセキュリティ担保のために行っているネットワーク分離構成(HIS)に加え、「DMZ」と呼ばれる特殊なネットワーク領域を持つ環境下でも今の構成を変えずに運用が可能です。
医療業界を狙った攻撃が増える中で重要なのは持続可能なセキュリティ対策です。3省2ガイドラインに基づいたセキュリティ体制構築を行い、セキュリティインシデントの発生を抑制しましょう。
急増する医療業界へのサイバー攻撃に備える!3省2ガイドラインが示す医療情報システムの安全管理を解説
医療業界へのサイバー攻撃対策って何をすれば?!医療業界のセキュリティインシデントを防ぐ3省2ガイドラインを解説します!
関連する記事
