病院は地域社会の生命を守る重要なミッションを担っており、事業継続が強く期待される。その一方で、病歴などセンシティブな個人情報や臨床研究データなどの機密情報をはじめとした重要情報があるためサイバー攻撃の標的となりやすい。そして、標的として狙われるのは、事業継続計画(BCP:Business Continuity Plan)を策定して日ごろから訓練を実施している“難攻不落”な病院ではなく、BCP未策定の“脆弱”な病院だ。

(出所:123RF)
(出所:123RF)

 災害拠点病院は、2017年3月31日付の厚生労働省医政局長通知「災害拠点病院指定要件の一部改正について」に基づき、BCPの策定と研修・訓練の実施を義務付けられている。具体的には、(1)被災後、早期に診療機能を回復できるよう、業務継続計画の整備を行っていること、(2)整備された業務継続計画に基づき、被災した状況を想定した研修および訓練を実施すること――などだ。

 事業停止の引き金を自然災害だけと想定すれば、病院のある地域のハザードマップに応じたBCPを策定すればよいが、サイバー攻撃までを想定するとそうはいかない。例えば、治安が良くのどかな地域にある病院でも、脆弱性があればサイバー攻撃のターゲットとなる。重要情報の漏洩や身代金を目的としたサイバー攻撃を想定したBCPの策定が不可欠なのだ。

 甚大な被害の例としては、ランサムウエア攻撃により全米の約400カ所の医療機関のネットワーク機能が停止して67万ドルの損失が発生した事例や、攻撃の余波で死者が出たドイツの大学病院の事例が挙げられる。対策を怠ると、金銭的な損失だけでなく患者の生命をも危機にさらすことになり、病院の信頼は大きく失墜する。

 巧妙化・複雑化するサイバー攻撃への対策のポイントは、「リスクは、完全にゼロにはできない」ことを前提に「フェイルセーフな組織」を作ることである。万が一、人為的なミスや自然災害、サイバー攻撃が引き金となって情報システムが停止したとしても、復旧の道筋を立て、事業を継続できるよう体制を整える必要がある。

サイバー攻撃の“おそれ”段階から対処せよ

 厚生労働省が2022年3月に公開した「医療情報システムの安全管理に関するガイドライン」(以下、「安全管理ガイドライン」という)第5.2版では、サイバー攻撃の“おそれ”のある段階から説明責任を果たし、事業継続を実現する組織のマネジメント体制の構築を医療機関に求めている。

 また、2020年6月公布の改正個人情報保護法の第26条には「漏えい等の報告等」の規定がある。2022年4月1日以降は、患者の診療情報や調剤情報などの個人データが漏洩したり、ランサムウエアによる個人データの暗号化などによって個人の権利を害したりする“おそれ”が生じた場合は、個人情報保護委員会への報告および本人への通知が法的義務となった。

 さらに、医療提供ができなくなった場合や重要情報の漏洩が生じた場合には、マスメディアからの報道対応に加え、地域社会の患者や家族への説明責任が生じる。SNSなどでの真偽不明な情報の流布への対策も欠かせない。

 これらの背景を踏まえると、自然災害だけではなく、サイバー攻撃による事業停止を想定して、「事業継続に大きな影響のある業務は何か?」「どの程度のリスクであれば許容できるか?」「いつまでにどの程度の回復が望ましいか?」など、事前の「経営判断」に基づく全組織的な「サイバーBCP」の策定が必要となる。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。