近年、医療機関および介護施設に対するサイバー攻撃・ランサムウェア攻撃が確認された事例も少なくありません。ここではサイバー攻撃を受けた病院・介護施設について調査。実際にどのような被害があったのか、発生までの経緯や攻撃の手口、その後の対応などを事例としてご紹介します。
静岡県にある田沢医院は2022年10月27日にランサムウェアの攻撃を受けたことを発表。これにより診療記録や予約情報が暗号化されてしまい、電子カルテシステムが使えない状況であることを明らかにしました。第三者機関による被害状況の調査を行いましたが、不正アクセスによる閲覧はありましたが、個人情報漏えいについては確認されませんでした。
田沢医院は発生原因については明らかにしていません。ランサムウェアの感染経路としては不正Webサイト閲覧、不正メールの添付ファイル開封、USBメモリなどがあり、サイバーセキュリティに対する認識の甘さが考えられます。同院は、厚生労働省や静岡県警に被害を報告し、紙カルテでによる診療に切り替えて対応しています。
【専門家監修】
標的型メールによる
サイバーセキュリティのリスクと対策
2019年12月2日、名古屋市は社会福祉法人九十九会管理の名古屋市緑寿荘において、入所者の個人情報が含まれるUSBメモリ紛失があったことを発表しました。同施設の職員が机の引き出しに保管していたUSBメモリを使用しようとした際に紛失していたことが判明。全職員が施設内を捜索しましたが発見には至りませんでした。
この事例ではUSBメモリの外部への持ち出しはなかったものの、保管場所の施錠と状況確認を怠っていたことが紛失の原因としています。病院や介護施設などは職員だけでなく、患者や入所者、家族などが頻繁に出入りします。USBメモリも含め、個人情報の取扱いについて施設としてどのように管理すべきか決めておくことが重要です。
【専門家監修】
USBメモリによる
サイバーセキュリティのリスクと対策
大阪急性期・総合医療センターは2022年10月31日、ランサムウェアの攻撃により電子カルテシステムに障害が発生したことを発表しました。その後、11月に入っても通常診療ができない状況が続き、12月12日から電子カルテを含めた基幹システムが再稼働。従来通りの診療体制に完全復旧したのは翌年の1月11日からでした。
事例の病院は基幹災害医療センターや高度救命救急センターとしても機能する大規模な医療施設ですが今回のランサムウェア感染の影響で、一時は、緊急手術を除くすべての医療サービスが停止する事態になりました。電子カルテデータのバックアップはとっていてものシステムに接続できずに復旧までに時間がかかりました。
患者や入所者の個人情報を保護するためには、常にシステムを最新状態にアップデートしておくことはもちろん、ファイアウォールやウイルス対策ソフト導入、定期的なアクセスログの取得と分析、第三者機関による脆弱性診断、不審な挙動を検知する監視システムの導入などのネットワークセキュリティを強化することが必要です。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
USBメモリの紛失やメールの誤送信など人為的ミスによる被害を発生させないためには、情報セキュリティに関する職員の教育訓練が必要です。個人情報の取扱いや持ち出し管理などを徹底すること。またサイバー攻撃や個人情報の漏えいが発生した際に、施設としてどう対応するのかの取り決めや規定を作成しておくことも重要です。
医療・介護施設は患者や家族など、日々多くの人が出入りするため物理的なセキュリティ対策も必要です。施設の各所に監視カメラを設置したり入退館管理の強化、情報端末やUSBメモリの安全な保管場所確保、盗難防止システムの導入、必要に応じて警備員を配置するなど強固な監視・管理体制を構築することが求められます。
業界によってリスクやサイバーセキュリティのどの点を重視するかは変わってきます。病院・老人ホームなどの施設では人と接する機会も多いため、物知的なセキュリティ対策のも含めたOODAループを回していくことが重要です。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス