地域の基幹病院や急性期病院をはじめ、場所や規模を問わず医療施設へのサイバー攻撃が起きている。個人を標的に攻撃メールが届くことも増え、医師も「セキュリティ管理はIT担当者の仕事」と任せていられない時代だ。厚生労働省でも医療機関向けの医療情報セキュリティ研修を開始するなど(2022年度は12月に開始された)、情報セキュリティの知識は今後さらに重要になる。そこで2人の専門家に対策のポイントを聞いた。
「○○医学部の○○と申します。先生の論文『○○○○』を拝読して大変興味を持ちました。ついては私の意見もご覧いただけないでしょうか。添付の文書ファイルのパスワードは、、、」
こんなメールを読んだら、思わずファイルを開けてしまうかもしれない。しかし、これは特定の相手を狙った「標的型攻撃メール」の例で、実際に国立国際医療研究センターの職員に届いた内容の要約だ。同院では未然に防いだが、セキュリティに関心の低い病院ではコンピュータウイルスが院内に広がり、業務がストップした可能性もある。
同センター医療情報基盤センター長の美代賢吾氏は「当院への攻撃回数は数年で5、6倍に急増し、手口もさらに巧妙化。おかしな日本語は減り、通常のメールと見分けがつきません」と注意を促す。
「怪しいメールは見れば分かる。院内の情報システムはインターネットにつながっていないから大丈夫。そうした過去の『安全神話』は捨て、現場の医師一人ひとりが現状に即したサイバーセキュリティ対策を実践することが重要です」(美代氏)
美代氏は「できれば組織にセキュリティ担当者を置き、最新の情報をもとに院内のシステム環境をアップデートし、具体例を使って医師や職員にセキュリティ教育を行うのが望ましい」と言う。
「環境整備や教育による予防策と、発生時の初動対応が大切なのは医療安全と同様です。PCがおかしな挙動をするなどトラブルが起きたときの連絡先が明確なら、素早い初動対応につながると思います」(美代氏)
さらに、美代氏が挙げた「サイバー攻撃のリスクを減らすため、医師に注意してほしいポイント」の一部を紹介する。
・怪しくないメールにも注意する
攻撃メールには、学会での講演依頼など受信者が興味を持ちそうな内容も増えている。怪しいメールだけでなく、すべてのメールで添付ファイル、リンク先を開く際には注意する。例えば、差出人のメールアドレスを慎重に確認し、リンクはクリックする前に本来のURLかどうかを確認するなど。
・パスワードを使い回さない
学会やSNSなどのユーザー登録で使用するパスワードは誕生日や1234などの単純な文字列にしないのはもちろん、漏えい時の被害を最小限に抑えるためにもパスワードは使い回さない(パスワードの作り方のヒントは後述する)。
・IDとパスワードだけのログイン管理は危険
万一、IDとパスワードが漏えいしても、スマートフォンなどで追加認証しないとログインできない仕組みなら安全性が高まる。そうした多要素認証が可能なサイトでは、面倒がらずに設定しておく。
院内のセキュリティルールが不便だからと、自分で勝手に変更するとサイバー攻撃のリスクを高める。なぜそのルールが必要なのか、利便性を上げるにはどうすればいいか、まず病院側に確認・相談してほしい。
サイバー攻撃を受けた病院の調査や初動対応に協力したソフトウェア協会理事の萩原健太氏は、「セキュリティ対策で重視すべき点は事業継続だと捉えています」と話す。
「サイバー攻撃への予防策はもちろん、重要なデータを暗号化して『解除したいなら金を払え』と脅迫するランサムウェアには、データのバックアップをオフラインにも定期的に保存する、業務にクラウドサービスを利用するなど工夫が必要です。セキュリティ対策は難しく思いがちですが、事業継続という目的を明確にすれば、どのような対応が必要か判断しやすいでしょう」(萩原氏)
さらに、医師などユーザーに対しても「今の時代に合ったセキュリティ対策が必要」とアドバイスする。例えばログインに使用するパスワードは、最近は複雑性より文字列の長さが重要とされ、複数の単語を組み合わせて・文章をつなげて作る「パスフレーズ」を使い、できる限り長く設定することが推奨されている。
「例えば、sukinatabemonowa○○desu で20文字以上になります。文字数制限があるなどサイトの制約に合わせながら、推測されにくく、長くて、自分は覚えやすいパスフレーズを作り、使い分けてください」(萩原氏)
また、厚生労働省は「医療情報システムの安全管理に関するガイドライン」第5.2版(2022年3月)で、情報セキュリティの観点から医療機関等が遵守すべき事項等を規定し、セキュリティの強化を求めている。加えて、「医療機関向けセキュリティ教育支援ポータルサイト」を開設。経営者向け、システム・セキュリティ管理者向け、初学者(医療従事者)向けの研修をオンラインやe-learningで行っている。
ソフトウェア協会ではこの事業を受託し、2022年度、2023年度(2023年は秋頃開始予定)の企画・運営を担当する。「セキュリティ対策は難しくないと伝わるよう、『大切なものを金庫などに保管するように、重要な情報資産もバックアップして万一に備える』といったように、一般的な感覚に置き換えて説明しています」と萩原氏。
「医療情報を取り扱っていることやステークホルダーといった特性はありますが、根本的にはセキュリティに関して医療分野の特殊性はありません。一般企業と同等の対策で、セキュリティのレベルは向上できます」(萩原氏)
医療分野の情報化の恩恵を享受するためにも、今必要なセキュリティの基本を学んで実践したい。
あわせて読みたい記事
「首都圏の在宅医療の現在」と題して、首都圏で訪問診療を展開する医師に話を聞いた。
医師同士のタスク・シェアなどで負担軽減を進めてきた医療現場の事例から、成功要因を探った。