はじめに
病院の立入検査シーズン、担当者は日々の業務に加え、多大な負担があると思います。近年、この立入検査で重要性が増しているのが「サイバーセキュリティ対策」です。厚生労働省の「医療情報システムの安全管理に関するガイドライン」は改訂が重ねられ、令和5年5月公開の第6.0版では、経営層の責任明確化、インシデント発生を前提とした対応(BCP含む)、外部委託先管理強化などが求められ、要求レベルは年々高まっています。立入検査でのチェックも厳格化する傾向にあります。
「うちは小規模だから」「狙われるのは大病院だけ」という考えは過去のものです。中小規模の医療機関を狙ったランサムウェア被害は増加しており、規模に関わらずリスクは存在します。被害に遭えば、診療停止や患者様の機密情報漏洩など、事業継続を揺るがす事態に繋がりかねません。
本稿では、立入検査を機に見えてくる、多くの医療機関に共通するセキュリティ上の課題と、今日から着手できる具体的な改善策を最新動向を踏まえ解説します。自院の体制を見直す一助となれば幸いです。
立入検査で顕在化しやすいセキュリティ課題
ガイドラインに沿って対策していても、日々の運用で意図せずセキュリティホールが生まれることがあります。立入検査は、そうした課題を客観的に見直す好機です。特に指摘されやすい点を3つの観点から見ていきます。
1. 「つい、うっかり」が招く脅威:人的要因のリスク
高度なシステムも使うのは人であり、ヒューマンエラーは避けられません。IPA「情報セキュリティ10大脅威」でも、人的要因が関連する脅威が常に上位を占めています。
外部記憶媒体の不適切利用: 私物USBメモリの安易な接続や無許可の情報持ち出しは、マルウェア感染や情報紛失の直接的な原因となります。「自分だけは大丈夫」という意識がリスクを生みます。
巧妙化する攻撃への油断: 偽ログイン画面へ誘導するフィッシングメール、特定の組織を狙う標的型攻撃メール(Emotet等)、SMSを使うスミッシング、取引先を装うビジネスメール詐欺(BEC)など、手口は巧妙化しています。多忙な業務中の「うっかり」クリックが、重大インシデントの入口になり得ます。
パスワード管理の脆弱性: 部署共通パスワード、推測容易な文字列、パスワードのメモ書き放置などは、依然として多くの現場で見られる課題です。情報システムへの「鍵」であるパスワード管理の甘さは、他の対策を無意味にします。
2. システム・運用体制に潜む課題
個人の意識だけでなく、組織全体のシステム構成や運用体制にも問題が潜んでいます。
サポート終了OS・ソフトウェアの利用継続: サポートが終了したOS(Windows 7や旧バージョンのWindows 10/Server等)やソフトウェアは、新たな脆弱性が修正されず、攻撃者の標的となります。「ネット非接続だから安全」とは言えず、USB経由の感染リスクもあります。医療機器組込OSのサポート終了も深刻な問題です。計画的な更新・リプレイスが急務です。
ログ監視・分析体制の不備: インシデント発生時の原因究明に必要なログが適切に取得・保管・分析されていないケースが多く見られます。「ログは取っているが見ていない」状態では、異常の早期発見は困難です。ガイドラインでも適切なログ管理が要求されています。
退職者アカウントの放置: 退職者のアカウントが削除されずに残っていると、悪用されれば容易に情報漏洩に繋がる重大なリスクとなります。アカウント管理プロセスの徹底が必要です。
外部委託先の管理・連携不足: 委託先が十分なセキュリティ対策を講じていなければ、そこが攻撃の足掛かりとなるサプライチェーン攻撃のリスクがあります。ガイドライン第6.0版では、委託先の選定基準、契約へのセキュリティ要件明記、定期的な監査などが求められています。自院だけでなく、委託先を含めた管理体制が不可欠です。
3. 形骸化するセキュリティポリシー
策定されたポリシーが「作って終わり」になっていないでしょうか。
周知徹底・教育不足: ポリシーの存在や重要性が職員に理解されていなければ、実効性は期待できません。
実態に合わない・更新されないルール: 業務や環境の変化に合わせてルールを見直し、更新しなければ、遵守は困難になり形骸化します。
形式的な研修・訓練: 年一回のeラーニングや形だけの訓練では、意識向上や実践的な対応能力の強化は難しいでしょう。より実践的で危機感を醸成する工夫が必要です。
真の安全を築くための改善策
課題が見えたら、次は改善です。できることから着実に進めましょう。
1. すぐに着手できる対策:足元の強化
パスワードポリシーの見直しと徹底: 複雑で十分な長さのパスワード設定を義務付け、定期変更を促します。パスワード管理ツールや多要素認証(MFA)の導入も有効です。「パスワードは重要情報」という意識共有が基本です。
外部記憶媒体ルールの明確化と周知: 原則禁止、許可制、ウイルスチェック済み機器の貸与など、明確なルールを定め、その理由とリスクと共に繰り返し周知します。
「自分ごと」化するセキュリティ研修: 実際のインシデント事例紹介や、部署ごとのリスクシナリオ検討など、参加者が当事者意識を持てる内容を工夫します。訓練は丁寧なフィードバックで学習効果を高めます。
2. システム・技術面での強化
人的対策と合わせて、技術的な防御力向上も計画的に進める必要があります。
OS・ソフトウェアの計画的アップデート: 院内システムのバージョンを棚卸し、サポート終了が近いものから優先順位をつけて更新・リプレイス計画を実行します。経営層の理解とリーダーシップが不可欠です。
不正アクセス対策の強化: ファイアウォールに加え、IDS/IPS(不正侵入検知・防御)、WAF(Webアプリケーションファイアウォール)、EDR(端末での検知・対応)などの導入をリスクに応じて検討します。コストや運用負荷も考慮し、費用対効果を見極めることが重要です。
アクセスログの適切な管理・監視: 必要なログを定義し、ガイドラインに沿って十分な期間保管する仕組みを整備します。SIEM(統合ログ管理)等による監視や、外部SOC(セキュリティ監視センター)サービスの活用も有効な手段です。
3. セキュリティを組織文化に
最も重要かつ困難ですが、組織全体で取り組むべき課題です。
経営層のリーダーシップ: 経営層が「セキュリティは事業継続と患者安全のための投資」と認識し、積極的に関与する姿勢を示すことが重要です。トップからのメッセージ発信が現場の意識を変えます。
インシデント報告しやすい体制: 異常を感じた際に迅速かつ心理的抵抗なく報告できる雰囲気と明確な連絡ルートを整備します。「報告したら叱られる」という不安は報告遅れを招きます。早期報告を奨励する文化を目指し、インシデント対応計画(IRP)策定と定期訓練も実施しましょう。
貢献を評価する仕組み: ヒヤリハット報告者やセキュリティ向上に貢献したチームを表彰するなど、ポジティブな評価がモチベーション向上に繋がります。
まとめ
立入検査は、自院のセキュリティ体制を客観的に見つめ直し、強化する絶好の「機会」です。「うちは大丈夫」という根拠のない自信や「面倒だ」という感情をリセットし、組織全体で課題に向き合う姿勢が求められます。
サイバーセキュリティ対策にゴールはありません。脅威は常に変化するため、最新情報に関心を持ち、対策を継続的に見直し、改善していくことが不可欠です。
その地道な取り組みが、病院のシステムと情報を守り、ひいては患者様の生命とプライバシーを守ることに繋がります。日々の情報共有やインシデント発生時の迅速な連携のため、セキュアなコミュニケーション基盤の整備も有効な対策となるでしょう。
Dr.JOYが提供している立入検査帳票機能は、近年重要度が増している「医師の働き方改革」に関する必須チェック項目(勤怠記録の確認など)に対応した帳票作成を支援しています。これらの関連記録を一元管理し抜け漏れを防ぐことで、セキュリティと労務管理という複数の観点から複雑化する立入検査準備を効率化します。ご関心があれば、情報収集の一環として、どのような機能があるかご覧になってみてはいかがでしょうか。
Dr.JOY株式会社ビーコン事業部 カスタマーサクセス
鈴木
このライターの記事一覧
