サイバー攻撃の事例をもとにした
医療機関のセキュリティ対策
昨今、医療機関を狙ったサイバー攻撃が増加しています。
2022年10月には、静岡県と大阪府の医療機関でサイバー攻撃によって、電子カルテが使用できなくなり、診療に影響が出るといった事例がありました。
既に開業されてクリニックを経営されている先生、これから開業を迎える先生、ご自身のクリニックのセキュリティ対策は十分でしょうか。
ここでは、サイバー攻撃の事例をもとに、予防・対策などについて説明します。
サイバー攻撃とは?
そもそも「サイバー攻撃」とは、サーバーやパソコンにつながっているネットワークを通じ、システムの破壊やデータの窃盗などを行う行為を指します。
サイバー攻撃によるリスク
サイバー攻撃には、以下のようなリスクが伴います。
- 損害賠償責任リスク
- 情報漏洩リスク
- 危機管理対応リスク
- 事業中断リスク
このようなサイバー攻撃のうち、昨今頻発しているのが、医療機関を標的とした「ランサムウェア」とよばれるウイルスによるものです。
ランサムウェアとは?
サイバー攻撃の一つであり医療機関でも被害の出ている、ランサムウェアによる攻撃についてご説明します。
ランサムウェアというプログラムに感染すると、まず、端末に保存しているデータが暗号化され、使えなくなってしまいます。
そのデータを復活させる対価として、金銭を要求されます。
また、データが暗号化され使えなくなるだけでなく、「費用を支払わなければデータを公開する」という脅しの手口も見られます。
以前は、個人を狙った攻撃が多かったのですが、近年は、企業や団体を狙った攻撃が増加しています。
参考
実際に起こった医療機関へのサイバー攻撃
2022年10月には、静岡県にある医療機関がサイバー攻撃を受けました。
ランサムウェアに感染し、約2,000人の診療記録や予約情報が暗号化されてしまいました。
同月、大阪市の病院でも、ランサムウェアによるサイバー攻撃により、電子カルテシステムが利用できなくなる事例がありました。
電子カルテシステムが使えなくなってしまったことで、数日間、診療や手術を行うことができなくなってしまいました。
こうした事例が頻発していることから、厚生労働省は医療機関に対してサイバー攻撃対策について注意を促しています。
参考
- 朝日新聞デジタル「「ファイルを暗号化」「金を払え」 沼津市の医療機関にサイバー攻撃」
- 日本経済新聞「大阪の病院サイバー攻撃、システム再構築へ 年明け復旧」
- 厚生労働省「医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)」
サイバー攻撃の予防策
さまざまなリスクを伴うサイバー攻撃に遭わないよう、未然に防止することが大切です。
では、こうしたサイバー攻撃に対してどのような予防策があるのでしょうか。
組織として
医療機関に対するサイバー攻撃は、もはや他人事ではありません。
クリニックのセキュリティ対策は十分か見直すことが大切です。
また、仮にサイバー攻撃を受けてしまった際、どのように対処するかなど、流れを把握しておくことも重要です。
個人レベルでは、このような事例が頻発しているということを知ること、スタッフさん一人ひとりのリテラシーを高めることが大切といえるでしょう。
リテラシーの低さによる知識不足は、情報漏洩等にもつながりかねません。
よって、クリニックで働くスタッフさんを集め、リテラシー研修を実施することも有効な手段の一つといえます。
長期休暇は要注意
ヒューマンエラーによるサイバー攻撃リスクが高いのが、長期休暇明けのタイミングです。
休診中に様々なメールが届き溜まっていることが多いですが、その際にチェックがおろそかになることが多いため注意が必要です。
忙しい時だからこそ、スタッフのみなさんへの注意喚起が大切です。
その他、長期休暇中にパソコンをつけっぱなしにしないようにする、不必要な人の出入りは控えるなども基本的なことですが大切と言えます。
技術面
まず、機器やソフトは最新の状態に保つようにしましょう。
アップデートすることで、性能の向上や不具合の修正が行われます。
一方で、アップデートを行わず、不具合の修正がされないと、「セキュリティホール」と呼ばれるソフトウェア上の欠陥から、脆弱性があると判断され、サイバー攻撃の標的となる可能性が高まります。
つまり、セキュリティ面からも、機器のアップデートは欠かせません。
また、日頃からパソコンや電子カルテのバックアップをとっておくことが大切です。
先ほど取り上げた大阪の事例では、バックアップデータが残っていたため、一部患者の診療を継続して行うことができていました。
こうした事例からも、定期的にバックアップデータを取っておくことは重要であるといえます。
リスクに備えた保険
こうしたリスクに備えた保険があります。
例えば、サイバー攻撃を受け、電子カルテが使えなくなったとしましょう。
実はこの場合、診療ができずに、収入がなくなってしまうというだけではありません。
攻撃を受けた端末のどこに欠陥があるのかといった診断する費用、ホームページ改修費、パソコンの買い替え費用に加えて、個人情報漏洩に対する損害賠償もかかり、億単位の費用が必要なるかもしれません。
こうした突然の支出に備え、保険に入っておくことも予防の一つとなるでしょう。
また、休業時の売上を補償してくれる店舗休業保険に加入されている場合、新たな保険に入る必要はないとお考えになる先生もいらっしゃると思います。
ですが、店舗休業保険はあくまでクリニックの設備自体に被害があったときの補償となっており、サイバー攻撃まではカバーされません。
つまり、店舗休業保険とサイバー攻撃に備えた保険では、対象が異なります。
実際に攻撃を受けてしまったときは?
ランサムウェアに感染してしまったとしても、焦って操作し感染を広げないよう、注意が必要です。
まずは、早急にネットワークの切断を行ってください。
Wi-Fiに接続している場合は、Wi-Fiを切断し、ランサムウェアに感染した端末のネットワーク接続を切ることで、他の端末への感染を防止します。
また、端末にかかった暗号を解除しようと、焦って金銭を支払わないようにしましょう。
支払ったからといって、感染を必ず解除してもらえるという保証はありません。
セキュリティの専門家や業者に連絡し、確認してもらうと良いでしょう。
再発防止に向けて
ランサムウェアの感染要因は、機器のアップデートをしていなかったということ以外にも、「不審なメールを開封してしまった」、「メールの添付ファイルを開いてしまった」ということも要因の一つとなります。
今回、なぜランサムウェアに感染してしまったのか確認を行い、再発を防止することが大切です。
適切なセキュリティ対策が求められています
ここまで説明してきたように、昨今の状況下では、医療機関であってもサイバー攻撃に対する予防・対策は欠かせません。
医療法人化しており、分院を展開しているクリニックでは、本院だけでなく、分院のセキュリティ対策も行う必要があります。
法人内の各クリニックごとにリテラシー知識やセキュリティ対策の偏りが出ないようにすることも大切です。
実際にサイバー攻撃を受けた際どのような流れで対処するのか確認しておくこと、端末のバックアップを定期的にとることなど、サイバー攻撃を未然に防ぐ対策が求められています。