「狙われる病院」の前編では、被害が相次ぐ医療機関に対するサイバー攻撃と、それに対して、災害拠点病院以外では事業継続計画(BCP:Business Continuity Plan)の策定すら大きく立ち遅れている病院の実態を明らかにした。また、病院がBCPを策定する際の基本的な考え方も整理した。
後編では、サイバー攻撃を意識した事業継続計画「サイバーBCP」について解説する。
取り組むべき内容を詳しく記した厚労省のガイドライン
まずは、厚生労働省が2022年3月に公開した「医療情報システムの安全管理に関するガイドライン」(以下、「安全管理ガイドライン」という)の第5.2版を詳しく見ていこう。
安全管理ガイドライン第5.2版は、基本的な取り組みと取り組むべき内容を包括的に整理・記載している。この最新版を一通り読み、旧版との差分を認識することで、これから取り組むべき事項や水準をつかめるようになる。また、安全管理ガイドラインの「別冊」では、取り組むべき内容の詳細や具体例を図とともに詳しく紹介している。
安全管理ガイドラインは、第3章で対象となるシステムおよび情報の範囲を明らかにしたうえで、第4章で責任の在り方(責任分界の明確化)を提示する。具体的に取り組むべき内容は、第6章で「医療情報システムの基本的な安全管理」として、基本的な方針や医療機関などにおける情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の実践を示している。
その特徴としては、根拠となる制度や考え方に加え、項目ごとに(1)最低限実施すべき内容、(2)推奨される内容、が整理されている点が挙げられる。セキュリティのコンプライアンス体制構築や、情報漏洩が生じて訴訟になった際の証拠保全や善管注意義務を果たすために、組織がどこまでリスクを許容し対策すべきかという経営判断に役立てることができる。
ここからは、今回のテーマである「ランサムウエア対策」に関する事項に絞って、必要な対策を整理していく。
ランラムウエア対策としては、第一に、PDCAサイクルを継続することである。安全管理ガイドラインの6.2章の「医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践」では、安全管理を適切に行うために、適切なマネジメントシステムであるISO(ISO/IEC 27001:2013)およびJIS(JIS Q 27001:2014)を採用することを推奨している。
