病院に必要なサイバーセキュリティ対策6選!意識したい3つのポイントも解説。
病院のサイバーセキュリティ対策が必要とされているけれど、本当に重要?
病院のサイバーセキュリティ対策には、具体的にどのような対策が必要なのでしょうか。
今回は、病院に必要なサイバーセキュリティ対策を6つ紹介します。また、対策において意識したい3つのポイントもまとめました。
これを読めば、病院にはサイバーセキュリティ対策が必要だと思えて、効果的なセキュリティ対策を実施することが可能になります。
先に結論を言うと、病院のサイバーセキュリティ対策は義務化されているため、日頃の対策に加え、ガイドラインを参考にすることでより質の高い対策が実施できますよ。
病院におけるサイバーセキュリティ対策の義務化
医療機関がサイバー攻撃の被害に遭う事例が相次いでいることから、2023年3月10日に厚生労働省は、医療機関の「サイバーセキュリティ対策」を義務化しました。
義務化された背景や規則・ガイドラインの基礎知識について、以下の2つのポイントがあります。
・2023年4月に「医療法施行規則」が改正
医療法施行規則は、医療法に基づいた病院や医療機関の開設や管理などが定められた規則です。
特に大きく改正された点は、サイバーセキュリティの確保を義務化する規則第14条第2項の新設です。
近年、増加傾向にあるサイバー攻撃は、手口の高度化・巧妙化により、様々な医療機関が機密情報の窃取などの被害を受けています。
このような背景から、医療機関におけるサイバーセキュリティ対策の重要性が高まっているのです。
参考資料
・医療情報システムの安全管理に関するガイドラインを「第6.0版」に改定
2023年5月、厚生労働省は、医療情報システムの安全管理に関するガイドラインを第6.0版に改定しました。
医療法施行規則の第14条第2項を前提として、医療機関の管理者が実施すべきサイバーセキュリティ対策が記されています。
例えば、医療機関のサイバーセキュリティ対策について、保健所による検査が原則として実施されるようになるなどです。
医療機関は、これまでもセキュリティ体制の強化が求められてきましたが、従来のような形式的な対策ではなく有効的なものが必要になったのです。
病院のサイバーセキュリティ対策が進んでいない理由
病院のサイバーセキュリティ対策が進んでいない理由には、主に以下の2つがあります。
・病院側の運用体制が整っていない
・「閉じたネットワーク」が想定されている
政府が推進している医療機関のサイバーセキュリティ対策は、セキュリティレベルが不十分なケースが多いです。では、それぞれの理由について詳しく解説します。
病院側の運用体制が整っていない
サイバーセキュリティ対策が進んでいない理由として、医療システムを利用する病院側の運用体制が整っていないことが挙げられます。
クラウド型の医療システムは、ほとんどがベンダー側でセキュリティ対策を整えていますが、その医療システムを利用する病院側の運用体制が不十分な場合があるからです。
例えば、パスワード設定やアクセス権限を適切に設定していなかったり、従業員へのセキュリティ教育が適切に行われていなかったりしていることが現状です。
医療システムを提供しているベンダーがセキュリティ対策を実施していても、病院側の運用体制が十分に実施されていないケースがあるのです。
「閉じたネットワーク」が想定されている
既存の院内システムが、院内又は部門内で完結する「閉じたネットワーク」で想定されていることも、サイバーセキュリティ対策が進んでいない理由の一つです。
医療システムの運用を継続していく中で、院内や対象外の部門からネットワークにアクセスする必要が生じた場合、セキュリティ上のトラブルが発生する可能性があるからです。
このような背景から、将来的に様々な医療機関や自治体、医療関連システムとの医療情報の連携・共有が推進される取り組みが進められています。
つまり、サイバーセキュリティ対策が不十分な「閉じたネットワーク」の改善は、必然的に必須になると言えるでしょう。
病院に必要なサイバーセキュリティ対策6選
病院に必要なサイバーセキュリティ対策は、主に以下の6つです。
・OSやソフトウェアの定期的な更新
・パスワードポリシーの策定
・アクセス権限の制御
・ウイルス対策ソフトの導入
・バックアップの取得
・クラウド型の医療システムの導入
病院は、患者のプライバシーや機密情報を保有しているため、セキュリティ対策が非常に重要です。では、それぞれの対策について詳しく解説します。
OSやソフトウェアの定期的な更新
病院に必要なサイバーセキュリティ対策1つ目は、OSやソフトウェアを定期的に更新し、常に最新の状態にアップデートすることです。
なぜなら、アップデートにより脆弱性を解消することで、サイバー攻撃のリスクが低減できるからです。
サイバー攻撃の手口は日々進化しており、OSやソフトウェアもそれに対応してプログラムを更新しています。
そのため、サイバー攻撃の被害に遭わないよう定期的にアップデートし続けて、常に最新の状態に保つことを意識しましょう。
パスワードポリシーの策定
病院に必要なサイバーセキュリティ対策2つ目は、パスワードポリシーを策定し、従業員に教育・周知させることです。
なぜなら、推測されやすい安易なパスワードを設定していると、システムやネットワークに脆弱性が生じるからです。
そのため、パスワードの長さ・文字の組み合わせ・使い回しをしないといった、パスワードに関するルールを定めなければなりません。
秘匿性の高い情報を保有している病院だからこそ、パスワードポリシーを策定し適切な管理の元、従業員に教育・周知させることが大切なのです。
アクセス権限の制御
病院に必要なサイバーセキュリティ対策3つ目は、システムやネットワークのアクセス権限を制御することです。
なぜなら、アクセス権限を制御することで、限られた人物だけがアクセスできるようになるため、情報漏洩リスクを抑えることが期待できるからです。
例えば、重要なデータは一部の担当者のみがアクセスできるようにしたり、外部端末からのアクセスを遮断したりすることが挙げられます。
また、機器や端末に起こり得る不正アクセスや通信を監視することで、異常なアクセスを検知し、速やかな対処が可能になるでしょう。
ウイルス対策ソフトの導入
病院に必要なサイバーセキュリティ対策4つ目は、ウイルス対策ソフトを導入することです。
なぜなら、システムやコンピュータがウイルスに感染してしまった場合に、検知・検出・駆除を行ってくれるからです。
マルウェアや不正アクセス、不正プログラムなどの脅威から病院のシステムを保護するためには、ウイルス対策ソフトの導入が欠かせません。
未知のウイルスに対応するためにも最新のソフトウェアを導入し、OSやソフトウェアと同様に定期的なアップデートを心がけて常に最新の状態に保つようにしましょう。
バックアップの取得
病院に必要なサイバーセキュリティ対策5つ目は、定期的にデータのバックアップを取得することです。
なぜなら、重要なデータを定期的にバックアップすることで、サイバー攻撃や災害によるデータ消失を防ぐことができるからです。
また、オフライン環境でデータのバックアップを取得し保管することで、被害を最小限に抑えることが可能になります。
定期的にバックアップを取得しておけば、データが少し古い状態に戻ってしまうことはあっても、完全に消失する事態を防ぐことができます。
クラウド型の医療システムの導入
病院に必要なサイバーセキュリティ対策6つ目は、クラウド型の医療システムを導入することです。
なぜなら、VPN機器などの脆弱性から完全な閉域網は存在しないことや、BCPの観点からクラウド領域にデータが保管されている方が効果的だからです。
現在は、自院でシステムを構築するオンプレミス型よりも、オンライン上で効率的に利用できるクラウド型の医療システムの方が安全であると考えられています。
ただし、クラウド型の医療システムを利用する場合は、運用体制を適切に構築することが重要と言えるでしょう。
サイバーセキュリティ対策で意識したい3つのポイント
病院におけるサイバーセキュリティ対策で意識したいポイントは、主に以下の3つです。
・技術的対策
・従業員のセキュリティ教育
・インシデント発生時の適切な対処
「医療情報システムの安全管理に関するガイドライン」の内容を基に対策を講じることで、セキュリティレベルを高めることが期待できます。では、それぞれのポイントについて詳しく解説します。
技術的対策
病院で使用しているPCやネットワーク機器などは、OSやソフトウェアを常に最新の状態にアップデートし、技術的な対策を実施することが大切です。
アップデートを実施し脆弱性を解消することで、サイバー攻撃のリスクを低減できるからです。
他にも、セキュリティソフトで外部からの攻撃を遮断したり、院内のシステムとインターネットを隔離したりしておくことでより安全性が高まります。
その際には、記録機器や記録メディアを徹底した管理の元で部屋に保管し、万が一に備えてデータのバックアップも取得しておくと安心でしょう。
従業員のセキュリティ教育
情報システムの対策だけでなく、病院で勤務している従業員のセキュリティ教育を実施することも重要なポイントです。
病院に勤務している従業員は医療の専門医であり、セキュリティ意識や知識にも個人差があるためです。
例えば、従業員が院内のシステムを使用した後は必ずログアウトすることや、個人情報の送信や持ち出しに関するルールを策定し、教育・周知することが大切です。
また、送受信したメールの添付データやWebサイトなどにも、ウイルス感染のリスクがあることを徹底して周知させましょう。
インシデント発生時の適切な対処
ネットワーク機器への不正アクセスやウイルス感染、データの改ざん、情報漏洩などのインシデントが発生した際、速やかな対処が求められます。
さらなる被害の拡大や二次被害を防ぐためには、あらかじめ対処法を決めておくことが大切だからです。
基本的な対処の手順として、以下の方法が挙げられます。
1、インシデント発生時の状況を記録し報告する
2、インシデントの内容に応じて、必要な応急処置を行う
3、原因究明と事後対応を行う
これらの対処法に加え、サイバーセキュリティの専門会社への依頼やセキュリティツールなどを導入することも対策の一つです。
インシデントの原因究明をするためには専門的な技術や知識が必要であるため、システムの稼働期間やコストを考慮しつつ、事前にフォレンジック調査会社を選定しておくと良いでしょう。
病院におけるサイバーセキュリティ対策の課題
病院におけるサイバーセキュリティ対策には、患者の個人情報や医療情報を保護するための取り組みが必要です。しかし、病院などの医療機関は、他の企業にはない特殊な職場環境であるため、セキュリティ対策に課題が生じてしまいます。
では、病院におけるサイバーセキュリティ対策の課題について、具体的に見ていきましょう。
情報システムの複雑性
病院におけるサイバーセキュリティ対策の課題として、情報システムに複雑性があることが挙げられます。
診療情報管理システムや医療機器の制御など、多種多様な情報システムを取り扱っているからです。
これらのシステムは、患者の健康状態に深く関わるため、有効性や信頼性が求められます。
そのため、セキュリティ対策を実施する際には、システムの稼働率に影響を与えないように配慮する必要があるでしょう。
セキュリティ教育の不足
従業員のセキュリティ教育不足は、病院におけるサイバーセキュリティ対策の課題の一つです。
病院に勤務している従業員はあくまでも医療の専門医であることから、セキュリティに関する知識が不十分な場合があるからです。
そのため、セキュリティルールや対策の重要性をきちんと理解していないケースは珍しくありません。
病院は、教育や研修の時間や予算が限られていることが多いため、セキュリティ教育の実施が大きな課題とされているのです。
情報共有の問題
診療情報などを含む患者の個人情報共有の問題も、病院におけるサイバーセキュリティ対策の課題と言えます。
病院には、患者の情報を共有する義務がありますが、プライバシーや個人情報保護法などの規則に従う必要があるからです。
情報共有の方法や範囲について、部署や職種で認識が異なる場合があるため、相談して適切な情報共有をしなければなりません。
そのためには、院内で情報共有と協力体制を構築することが重要と言えるでしょう。
万が一に備えたサイバー保険
サイバー保険とは、インターネットを通じて行われるビジネスにおいて、サイバーリスクが発生した際の様々な損害に対応するための保険です。
サイバー攻撃によって、企業に生じた第三者に対する「損害賠償責任」に加え、事故時に必要となる「費用」や自社の「喪失利益」を全面的に保障してくれます。
例えば、企業が保有する顧客情報や機密情報などの重要な情報資産が流出した場合には、企業自身や流出した情報を所有する個人に対して保険金を支払ってもらえます。
そのため、サイバー攻撃に対する万全なセキュリティ対策を実施するとともに、サイバー保険と併せてセキュリティリスクを管理することが重要でしょう。
まとめ
今回は、病院に必要なサイバーセキュリティ対策と意識したい3つのポイントについて紹介しました。
病院は、個人情報や機密情報を取り扱っていることから対象になりやすく、サイバー攻撃は増加傾向にあります。このような状況から、病院のサイバーセキュリティ対策が義務化されました。病院や医療機関は、日頃の対策を維持するとともに、サイバーセキュリティ対策のガイドラインに沿った対策を実施していただきたいです。
重要なデータを保有している病院などの医療機関は、日々効果的な対策を実施しサイバー攻撃から情報漏洩を防がなければなりません。インフォシールド合同会社では、サイバーセキュリティに関するサービスの見積もりやサービス提供を行っております。
NEW
-
フィッシング詐欺の事例一覧!見分ける10個のポイントを紹介。
2025/03/07 -
フィッシング詐欺の実例8選!代表的な手口とそれぞれの対策を紹介。
2025/02/22 -
フィッシング詐欺にあったらどうする?すぐに取るべき対処法6選を解説!
2025/02/10
