コラム
  • 医科
  • #トレンド

クリニックのためのサイバー攻撃対策・BCP策定

2022.09.28

システム障害は、最近増加傾向にあるサイバー攻撃だけでなく、天災(地震、台風、水害)や、インターネットの障害などで起こる可能性があります。そのため、BCP(Business Continuity Plan:事業継続計画)の策定はクリニックにおいても必要ではないでしょうか。

サイバー攻撃が25倍に増加

2022年2月下旬のロシアのウクライナ侵攻を境に、国内のインターネットサイトに対するサイバー攻撃が急激に増加しています。国内1万5000以上のサイトを対象にした調査によると、2月16日以降、不正アクセスや不審者による攻撃などが直近の3カ月平均と比べて約25倍に増えています。

医療界も他人事ではない

2021年10月末に起きたつるぎ町立半田病院の電子カルテに対するランサムウェア(※)による感染被害は、医療界に激震が走りました。ランサムウェアに感染後、システムが完全に復旧したのは2022年1月4日。約2か月の間、患者の来院制限が行われ、復旧に多くの時間が費やされたことになります。

この事件をきっかけに、改めて医療界におけるセキュリティ対策、BCPの重要性が見直されています。今回の事例にあるように、クラウドサービスの障害、そしてシステム障害はいつ何時、どこにでも発生する問題であり、それが起こり得ることを前提に、「障害・停止」の対策を行う必要があるのではないでしょうか。

(※)ランサムウェア…ウィルス感染による暗号化などによってファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに身代金を要求するマルウェア。

医療情報システムの安全管理に関するガイドライン(5.2版)

 そのような状況のもと、厚労省は「医療情報システムの安全管理に関するガイドライン」を2022年3月末に改版しています。改版の目的は、「医療等分野及び医療情報システムに対するサイバー攻撃が一層、多様化・巧妙化が進み、医療機関等における診療業務等に大きな影響が生じる被害も見られる。特にランサムウェアに代表される攻撃への対策は、喫緊の課題となっている」としています。

 具体的には、6.10章において、「災害、サイバー攻撃等の非常時の対応」として、「C.最低限のガイドライン」を以下のように定めています。

  1. 医療サービスを提供し続けるためのBCP の一環として、「非常時」と判断するための基準、手順、判断者等及び正常復帰時の手順をあらかじめ定めておくこと。
  2. 非常時における対応に関する教育及び訓練を従業者に対して行うこと。なお、医療情報システムの障害時の対応についても同様に行うこと。
  3. 正常復帰後に、代替手段で運用した間のデータ整合性を図るための規約を用意すること。

ガイドラインでは、医療機関はBCPを策定し、それに基づき教育・訓練を実施し、正常復帰のためのバックアップ体制を用意することが求められているのです。

BCPとは何か

「BCP」とは、企業や医療機関が自然災害(地震、台風、水害)、大火災、サイバーテロ、システム障害などの緊急事態に遭遇した場合に、被害を最小限にとどめつつ、診療の継続あるいは早期復旧を可能とするために、普段から準備しておく事項や緊急時における事業継続のための復旧方法・手段などを取り決めておく計画のことです。

今回の病院の事例のように緊急事態は突然発生します。そんな緊急事態に、迅速な復旧ができなければ大きな問題となりかねません。緊急時の復旧の遅れにより、廃業や事業縮小を余儀なくされないために、平常時からBCPを周到に準備しておく必要があるのです。

BCPの進め方

 BCPについて、クリニックの「システム障害」を例に考えてみましょう。

1.優先して利用するシステムを特定する

クリニックで優先的に使用するシステムは、電子カルテ、レセコンといった基幹システムとなります。まずはこれらのシステムの復旧が先決になります。

2.障害時の対応方法を定める

基幹システムを提供する電子カルテベンダーと、システム障害が起きた際に、どのような対応を行い、どれくらいで復旧が可能なのか、障害対応の方法を取り決めておく必要があります。最低限、非常時の連絡先をまとめておくと良いでしょう。

3.緊急時のサービスレベルを決める

クリニックでは、システム障害が起きた際、一時的に「紙」での運用となります。受付、診察、処方、会計といった最低限の流れを、紙カルテを元に行わなければなりません。紙カルテや紙の処方箋は最低限用意しておくと良いでしょう。また、緊急時に最低限どこまでのサービスが行えるかを事前に打ち合わせしておく必要もあります。

4.代替案を用意する

例えばサーバを二重にする、クラウドとオンプレミスを併用する、などシステム障害時に切り替えられる体制・準備が必要となります。

5.全スタッフに事前周知・訓練をしておく

システム障害など緊急事態においては、誰もがパニック状態となります。そこを落ち着いて行うためには、指示命令系統を明確にしておくこと、全スタッフが緊急時の対応を熟知しておくことが大切です。全スタッフへの事前周知の徹底こそが、早期復旧のカギとなります。また、障害を想定した避難訓練を定期的に行っておくと良いでしょう。

一覧へ戻る
カテゴリ
年月