今回もサイバーセキュリティ対策関連のコラムをご紹介いたします。
今回は㈱日立ソリューションズ・クリエイトの記事です
病院のサイバーセキュリティ対策とは? 医療機関が注意したいポイントなど
病院のサイバーセキュリティ対策は、機密情報の保護だけでなく、患者の命を守るためにも重要です。主なポイントとして技術面の対策や職員への教育、インシデント発生時に備えた体制作りなどがあげられます。
この記事では、病院のサイバーセキュリティ対策に関する政府の取り組みやガイドラインの概要、医療機関が注意すべきポイントについて解説します。病院の運営に携わる方は、ぜひ参考にしてください。
1. 病院のサイバーセキュリティ対策強化を政府が推進
2. 「医療情報システムの安全管理に関するガイドライン」の概要
3. 病院のサイバーセキュリティ対策のポイント
病院のサイバーセキュリティ対策強化を政府が推進
厚生労働省は、地方自治体に対して2018年10月にサイバーセキュリティ対策強化についての通知を行いました。2017年5月に発生したランサムウェア「WannaCry」による世界的な被害など、セキュリティ対策の重要性が増したことが、通知が出された背景です。
その後も、電子カルテや医療情報連携ネットワークなどの普及に伴い、病院のサイバーセキュリティ対策はますます重視されるようになりました。政府はガイドラインの周知徹底や、情報セキュリティインシデント発生時の国への報告、調査および指導などの取り組みを推進しています。
「医療情報システムの安全管理に関するガイドライン」の概要
病院のサイバーセキュリティ対策について政府が策定したガイドラインとして「医療情報システムの安全管理に関するガイドライン」があります。ガイドラインは本編と別冊に分かれていて、本編ではセキュリティ対策について実施するべき内容、別冊で具体的な対応例などが示されています。
ガイドラインで解説されている主な項目は以下の通りです。
• 電子的な医療情報を扱う際の責任のあり方
• 医療情報システムの基本的な安全管理に必要な対策
• 各種記録を外部に保存する際の基準
• 診療録等をスキャナ等で電子化する場合の要件
医療情報システムの安全管理に関するガイドラインの内容は、技術や制度の変化に合わせて随時更新されています。
病院のサイバーセキュリティ対策のポイント
病院のサイバーセキュリティ対策のポイントを「医療情報システムの安全管理に関するガイドライン」の内容を基にいくつか紹介しましょう。
技術的対策
病院で使用するパソコンやネットワーク機器、記録メディアなどには技術的な対策を行う必要があります。OSやファームウェアは常に最新バージョンにアップデートしましょう。
また、セキュリティソフトなどで外部からのサイバー攻撃を遮断することもポイントです。インターネットと病院内の情報システムを分離しておくと、より安全性が高まります。なお、分離させたことで安心するのではなく、記録機器、記録メディアなどが保管された部屋への入退室はきちんと管理し、外部からのアクセスだけでなく内部からの情報へのアクセス履歴を残しておくことも大切です。
万一、データの改ざんや消去などのサイバー攻撃を受けてしまった場合に備えて、データのバックアップを取っておくことも重要です。バックアップデータを保存する記録メディアには、暗号化やパスワードの設定、鍵をかけて物理的な持ち出しを防ぐなどの対策を行いましょう。
職員への教育
システムの整備だけでなく、病院で働く職員への教育も重要なポイントです。例えば、職員が病院内のシステムを使用した後は必ずログアウトする、パスワードを定期的に更新するなどの教育が必要です。
また、受信したメールの添付データやWebサイトなどにも、セキュリティのリスクがあることを周知しましょう。悪質な添付データやWebサイトの閲覧などをきっかけに、病院内のシステムにウイルスが侵入するリスクがあります。
さらに、個人情報を含むデータの扱い方も、職員に教育するべき項目です。誤って外部に流出させてしまうことがないように、情報の送信や持ち出しに関するルールを周知しましょう。
インシデント発生時の対処
ネットワークへの不正アクセスやウイルス感染、機密情報の流出など、インシデント発生時の対処について事前に決めておくことが重要です。一般的な流れとして、次のような対処方法があげられます。
1.インシデントの内容を記録・報告する
インシデントの発生が確認されたら、所属長や情報システム部、総務部などへの速やかな報告が必要です。報告先や報告時のフォーマットなどを予め決めておきましょう。
2.応急処置を行う
インシデントの内容に応じて、必要な応急処置を行います。ネットワークの一時的な遮断や機密情報の隔離など、被害拡大を防ぐための対応をしなければなりません。
3.原因の調査・事後対応
インシデントの原因を調査し、復旧のための作業を行います。また、関係者への報告や再発防止対策、損害賠償などの事後対応が必要です。
病院のセキュリティ対策は、安定的な医療サービスの提供に欠かせません。政府が策定したガイドラインなどを参考に、病院のセキュリティ対策を見直してみましょう。
サイバーセキュリティに強い専門業者から、支援や診断などのサービスを受けることも、効果的な対策の一つです。以下では、病院のセキュリティ対策に役立つ各種サービスをご覧いただけます。
・医療機器認証取得向けサイバーセキュリティ支援サービス
・ぜい弱性管理ソリューション
・セキュリティ診断サービス
コメント
COMMENT