Blogブログ

医療機関におけるサイバーリスク ~ランサムウェア攻撃で病院に被害

ある地方病院で、業務使用していた電子カルテシステムがランサ
ムウェアに感染し、同システムに記録されていたすべての患者情報
が暗号化され、閲覧不能となりました。病院に設置されていたプリン
ターが乗っ取られ、「身代金を支払わなければ、盗んだ患者情報を
公開する」旨の脅迫状が大量に出力されていました。電子カルテシ
ステムが使用不能になったため、病院は新患の受け入れをストップ
し、既存の患者の診察も紙カルテを作成するなど、対応により医師
らの業務負担は激増しました。各種対応に多大な労力とコストが発
生することになりました。
コロナ禍を背景に、サイバー攻撃は増加の一途をたどっています。
2021 年は、特に医療機関がサイバー攻撃の対象となる事案が世界
的に急増しています。これを受けて、厚労省は昨年に、「医療機関
の標的としたランサムウェアによるサイバー攻撃について」と題する
通達を二度発し、医療機関に対して入念に注意喚起をする異例の
対応を行っています。
医療機関へのサイバー攻撃が増加している背景として、医療機関
への攻撃の容易化と、医療機関が有する情報の高価値性が挙げら
れています。
コロナ禍も相まって、医療分野におけるICT 化は急速に進んでいま
す。これに伴い、ネットワークに接続可能な医療機器が増加し、医
療機関でも活用が進んでいます。これは、サイバー攻撃の対象とな
りうる機器が増加していることと同義であり、医療機関がサイバー攻
撃を受けるリスクを相対的に増加させています。加えて、特に医療
機関への攻撃が増加する背景として、医療機関の保有する患者情
報が、ダークウェブ上で高値で取引されているという裏事情もありま
す。ある調査によれば、患者情報は、クレジットカード情報の10~
20 倍の値段で取引されているそうです。すなわち、攻撃が容易で、
高価な情報資産を有する医療機関は、ハッカーの格好の獲物なの
です。
2022 年4 月1 日から施行された改正個人情報保護法では、サイ
バー攻撃により個人情報が漏洩した場合には、その件数にかかわら
ず個人情報保護委員会と本人に対して速やかに報告・通知などを
行う法的義務が生じることになりました。
医療機関の関係者は、自らの組織が、最低限の情報セキュリティ
体制を備えているかどうかを確認することが必須事項となります。具
体的には、厚労省が主に病院等の医療機関を対象に定めた「医療
情報システムの安全管理に関するガイドライン」と、総務省及び経
産省が、医療情報システムを提供する事業者を対象に定めた「医
療情報を取り扱う情報システム・サービスの提供事業者における安
全管理ガイドライン」を参考に、自組織が十分な情報セキュリティ
体制を備えているかを確認し、必要な場合には体制の見直しを図る
必要があります。
他方で、如何にサイバーセキュリティ事故の防止に費用をかけたと
しても、サイバーセキュリティ事故を完全に防ぐことはできません。サ
イバーセキュリティ事故が起きることを前提にサイバー保険によるリス
ク移転といった対策をとることも重要になります。