電子カルテをはじめ医療のICT化が進んでいますが、心配されるのが医療機関に対するサイバー攻撃です。厚生労働省の医療施設動態調査によると日本国内には約8200の病院があるようです。これら病院のICT化が進めば進むほどサイバーリスクは高まります。ICT化とサイバーセキュリティへの取り組みは表裏一体と言っても過言ではありません。国内の病院のサイバーセキュリティへの取り組みはどうなっているのでしょうか?
海外ではランサムウェアの影響で患者死亡のケースも
COVID-19の流行を背景にヘルスケア部門へのサイバー攻撃が世界的に増加しています。イギリスのサイバーセキュリティ企業、ソフォスの調査によれば医療業界への昨年のランサムウェア攻撃は前年比94%も増えたということですからほぼ倍増した状況です。医療機関、特に病院へのサイバー攻撃は患者に深刻な影響が及ぶ恐れがあります。ドイツでは2020年、救急患者が搬送された病院でランサムウェア攻撃が起き、病院システムが機能しなくなり、この患者を他の病院に搬送したものの治療が遅れて死亡した事案が起きています。また、アメリカでは、脳に損傷を受けて生まれて死亡した赤ん坊をめぐり、出産が病院へのランサムウェア攻撃の直後だったことから、ランサムウェア攻撃による病院のコンピューターシステムへの影響とこの赤ん坊の出産との関係をめぐり訴訟が起きるなどしています。
日本国内の病院に対するサイバー攻撃の実態は今一つわからないところがありますが、昨年10月にLockbit2.0ランサムウェアによる攻撃を受けた徳島県つるぎ町の半田病院については報道が詳しくなされ、今年6月には有識者による調査報告書も出たことから一連の経緯を含めて状況が明らかになっています。報告書によれば、半田病院へのランサムウェア攻撃はフォーティネットVPNの脆弱性を悪用して行われた可能性が高いということです。フォーティネットVPNの脆弱性に対しては広く注意喚起がなされていましたが半田病院では対策をしていませんでした。なぜ対策をしていなかったのでしょうか?
半田病院「セキュリティに対する認識が薄くベンダー任せに」
半田病院はこう話しています。
電子カルテシステムが閉域網での運用という認識のもと、セキュリティに対する認識が薄く、ベンダー任せになっていました。各端末にセキュリティ製品も入れていませんでした。担当を専任で1名配置していましたが、保守と開発がメインでした。
サイバーセキュリティ意識の欠如によって長期にわたる病院機能の停止と復旧に2億円もの出費を招くことになったことはとても残念です。しかし、半田病院は決して特異なケースではなく、多くの病院が似た状況なのではないでしょうか?厚労省の調査によると、VPNのアップデートをしている病院は6割にとどまったということです。半田病院のケースから明らかになったのは、社会的なインフラである病院のサイバーセキュリティが、個々の病院に委ねられていた現実です。徳島県は半田病院のケースを受けて医療機関のサイバーセキュリティ体制の構築に向けた取り組みに乗り出していますが、これまでは病院任せでした。
今年5月に開かれた厚労省のワーキンググループでの会合で厚労省はこんなことを言っています。
医療機関のセキュリティ対策は、『医療情報システムの安全管理に関するガイドライン』に基づき、各医療機関が自主的に取り組みを進めてきたところでございます。昨今のサイバー攻撃の増加や、サイバー攻撃により長期に診療が停止する事案が発生したことから、昨年度、病院への緊急調査を厚労省で行いました。その結果として、なかなか自主的な取り組みだけでは不十分と考えられるような結果が一部あった。
厚労省が医療ISACの設立に向けた準備に着手
厚労省ではこれまでガイドラインを作り、対応を個々の病院に任せていました。しかし、病院の自主的な取り組みだけでは十分ではないとの認識に至ったようです。厚労省では医療機器の脆弱性に対して適切な対応がなされているか医療法に基づく病院への立入検査で確認をする方針を打ち出すとともに、医療分野におけるISACの設立準備に着手することを明らかにしています。ISACはInformation Sharing and Analysis Centerの略でサイバーセキュリティ対策を業界全体で取り組むためにアメリカで生まれた仕組みです。日本においても金融、通信、電力の分野でISACが組織され、国とも連携しながらサイバーセキュリティ対策に業界全体で取り組みを図っています。
医療分野では、民間においてISACを志向した取り組みがあるようですが、業界全体を巻き込んだ取り組みは行われてきませんでした。厚労省では令和2年度、3年度にISACの設立に向けた検討を進めていたということですが、今年度、設立に向けた準備に着手するということです。日本の医療機関におけるサイバーセキュリティへの取り組みは、ようやく本格的に始まりつつある印象です。ランサムウェア攻撃を受けた半田病院では、現在、外部と完全に遮断した状態で電子カルテを運用するとともにセキュリティ製品も導入したということです。半田病院は「有識者会議のメンバーの指導を受けながら、バックアップ体制やポリシーの策定などを今年度中かけて作成し、システムを強化していく予定です」としています。
■出典
https://www.nytimes.com/2020/09/18/world/europe/cyber-attack-germany-ransomeware-death.html
https://www.wsj.com/articles/ransomware-hackers-hospital-first-alleged-death-11633008116