医療機関を狙ったランサムウェアによる身代金要求被害が増加しています。医療機関では、患者情報を保有した電子カルテシステム、会計予約システムなどの基幹システムや医療機器がウィルスに感染すると、外来や救急患者の受け入れの停止、診療や手術ができなくなるなど、大変深刻な問題となります。また、患者の個人情報の漏洩リスクもあります。

出典：警察庁ウェブサイト（https://www.npa.go.jp/
bureau/cyber/pdf/20230406_2.pdf）

「ランサムウェア」の被害件数は、右肩上がりで上昇。診療制限に伴う逸失利益として十数億円規模に。

実際、警察庁が2023年度に発表した医療・福祉分野における「ランサムウェア」の被害件数は、2021年から2022年下期にかけて、右肩上がりで上昇していることがわかります。

また、その被害額も⼤きく、2022年10⽉に⼤阪急性期・総合医療センターにてサイバー攻撃による医療情報インシデントが発⽣した際は、完全復旧に70⽇を要し、その被害額は調査・復旧費⽤で数億円以上、診療制限に伴う逸失利益として⼗数億円と報告されています。
出典：https://www.gh.opho.jp/pdf/report_v01.pdf(3.28MB)

医療情報システムの安全管理に関するガイドラインの改訂。
セキュリティ対策の義務化。

厚労省は令和5年4月からオンライン資格確認の導入が原則義務化。ゼロトラスト思考に則した対策を指示。

サイバー攻撃による被害の拡⼤を受け、厚労省は医療情報システムの安全管理に関するガイドライン第6版を策定しました。

改訂の趣旨として、保険医療機関・薬局においては令和5年4⽉からオンライン資格確認の導⼊が原則義務化されていることから、ネットワーク関連のセキュリティインシデント対策を求めていることが述べられています。また、ネットワークの安全性の考え⽅や認証のあり⽅を踏まえて、ゼロトラスト思考^※に則した対策の考え⽅を⽰しています。

立入検査要綱が一部改訂。ガイドラインに則ったサイバーセキュリティを確保しているか立入検査も実施される。

また、医療法第25条第1項の規定に基づく⽴⼊検査要綱を⼀部改訂し、ガイドラインに則ったサイバーセキュリティを確保しているか⽴⼊検査されるようになりました。

出典：医療情報システムの安全管理に関するガイドライン第6.0版（令和5年5⽉）｜厚⽣労働省 (mhlw.go.jp)　0619医政発第6号⽴⼊検査要綱改正通知 (mhlw.go.jp)
※ ゼロトラスト思考：「何も信頼しない」を前提に対策を講じるセキュリティの考え方。

サイバー攻撃への対策が義務化された医療機関。
セキュリティ対策のポイントと課題とは。

「OSが古い」「セキュリティパッチが当てられない」など、セキュリティ対策が取れなかった医療機器や検査装置への対策が課題に。

医療機関のセキュリティ対策は、ウィルス検知など医療情報システムの『管理・運⽤⾯での予防対策』と、情報のバックアップをとる、サイバー攻撃を想定したBCPを策定するなど『インシデント発⽣に備えた対策』の2つをバランス良く実施することが重要になります。

特に、医療情報システムの管理・運⽤⾯での対策において、医療機関はネットワークを連携した外部からの攻撃（サプライチェーン攻撃）を受けやすいため、ゼロトラストの思考を取り⼊れた対策が有効となります。また、医療機器・検査装置の中には、サポート切れの古いOSが使われていたり、EDRなどのセキュリティ対策ソフトがインストールできないものもありますので、そうしたレガシー機器・装置のセキュリティ対策が課題となっています。