・経営層の主体的関与によるインシデント発生時の意思決定および連絡系統の事前確立
・医療機器や院内ネットワークを含む重要システムのリスク評価と防御対策の実施
・ソフトウェア等の棚卸し継続とセキュリティパッチ迅速適用による脆弱性対策の徹底
・システム停止時に診療を継続するための代替手段確保とBCP実効性向上の訓練実施
経営層の関与と重要システムのリスク管理
5月27日、厚生労働省は高性能AIの悪用リスクを踏まえ、医療機関に対してサイバーセキュリティ対策の強化を呼びかける通知を発出しました。
このチャンネルでも報じている通り、高性能AI登場によるサイバーセキュリティの新たな脅威が問題視されています。そこで厚生労働省は、医療機関におけるサイバーセキュリティ対策の重点事項を整理しています。
まず、サイバーセキュリティ対策は経営課題として経営層が主体的に関与すべきであるとして、組織的な管理体制の整備や、インシデント発生時の意思決定体制・連絡系統を事前に確立するよう呼びかけています。
2つ目に、導入している医療情報システムの適切なリスク管理が挙げられています。電子カルテだけでなく、医療機器や院内ネットワークなどの重要システムのリスク評価を実施すること、システムの重要度に応じた防御対策を講じることなどが必要とされます。また、外部委託・クラウド利用時の責任分担や契約条件を今一度明確化することも求められます。
脆弱性・ランサムウェア対策とインシデント発生への備え
続いて、脆弱性対策と資産管理の徹底です。ソフトウェアや機器の棚卸しを継続的に実施し、セキュリティパッチの適用やアップデートを迅速に行うことが推奨されます。
4つ目は、ランサムウェア対策の強化として、バックアップを適切に実施することに加えて、不審メールや添付ファイルへの対応などの運用上の対策を徹底することが求められます。
5つ目は、インシデント発生時の体制を整備しておくことが挙げられており、インシデント発生時の初動対応を明確化しておくことや、厚生労働省やベンダなど各関係機関への報告・連絡体制をあらかじめ確保しておくことが重要です。
職員教育・サプライチェーン対策とBCPの確保
続いて、人的対策として、全職員に対する定期的なセキュリティ教育や攻撃を想定した訓練の実施などが挙げられています。
7つ目は、サプライチェーン・医療機器に関する対策です。医療機器メーカーやベンダとの連携を強化し、セキュリティ情報の共有を受けるとともに、調達段階ではセキュリティ要件を十分に確認・担保することが推奨されます。
最後は、BCP対策と診療継続体制の確保です。万が一サイバー攻撃が発生した場合を想定し、業務継続計画(BCP)を策定する必要があります。また、システムが停止した際にも診療を継続できるように代替手段を確保しておくだけでなく、定期的な訓練によって実効性を向上させることが求められます。
ここで挙げられた8つの項目を踏めて、最低限の遵守事項をリスト化したものが、「医療機関におけるサイバーセキュリティ対策チェックリスト」です。まずはチェックリストの最新版を満たしているかを確認し、各医療機関におけるサイバーセキュリティ対策を改めて見直すよう呼びかけています。
