病院の情シスで働く医療情報技師の奮闘記

院内SEの、院内SEによる、院内SEのための総合情報ブログ。毎週更新、現場の「生」の情報をお届け!

院内SEの、院内SEによる、院内SEのための総合情報ブログ。毎週更新、現場の「生」の情報をお届け!

メインメニュー
中古パソコンで値上げを乗り切る!失敗しない買い方・選び方
院内SEになるためにおすすめの転職サイト
未経験から院内SEになるには?独学可能なスキル【SE編】
未経験から院内SEになるには?独学可能なスキル【医療事務編】

医療情報技師が注目する、2022年6月のニュース

院内SEの知名度向上のためブログ定期更新中!院内SEについて知りたい方は、ぜひ人気記事もご覧ください。

 人気記事を見る


上手に中古パソコンを買って値上げを乗り切ろう! コツをこちらで紹介しています!

 中古パソコン特集ページへ

 

病院のSEとして10年以上働いている白狐(しろぎつね)です。

 

この記事では2022年6月に報道されたニュースの中から、医療情報技師である私が注目したものを個人的な感想を交えながら紹介します。

 

医療情報技師(院内SE)は病院の中で一人か数人程度しかいないため、孤軍奮闘することが多いもの。「他院の担当者はどう考えているのだろう」「他の人はこういうふうに捉えているんだな」と参考程度に読んでもらえたら嬉しく思います。

 

また、これから医療情報技師を目指す方には「現職の人はこういうふうに報道を見ているんだな」と現場のリアルな思いを感じ取ってもらえたらよいかと思います。

 

では、さっそく見ていきましょう!

 

目次

 

◆応援してくださる方へ◆
院内SEの知名度向上を目指し、ブログを定期更新中!
応援してくださる方は、励みになりますので「人気ブログランキング」ボタンのクリックをお願いします!
※クリックすると私に票が入ります。押すだけなら無料(笑)!情報が取られる等はありませんので、ぜひ応援よろしくお願いしますm(_ _)m


システムエンジニアランキング

 

 

 

徳島県・つるぎ町立半田病院の有識者会議調査報告書

 

医療情報技師なら知らない人はいないであろう、徳島県の病院で発生したランサムウェアによるシステムダウンの事案。外部の有識者による調査が実施されていたところ、その報告書が6月7日に当該病院のホームページで公開されました。

 

www.handa-hospital.jp

 

情報システム部門(情シス)だけでなく、電子カルテの管理にかかわるすべての人にとって必読と言えます。他人事ではない事案だからです。

また、情シスが設置されておらずパソコンに詳しい職員がシステム管理を担っている病院では、ITリテラシーの低さからセキュリティリスクの危険度が更に上がるため、啓蒙のためにも一読すべきレポートです。

 

ネットでもかなり取り沙汰され、IT関係者からはツッコミどころの多い内容になっているようです・・・

 

ツッコミはさておき、このレポートが医療機関にとっては貴重なケーススタディの資料になることは間違いありません。診療停止など地域住民への実害があったとは言え、いち病院が、発生事故の経緯や組織内部のマネジメント体制、予算繰りの厳しさ、ベンダーとの契約関係までをも赤裸々に報告するのは稀。医療機関におけるシステム管理体制の議論に一石を投じることになるはずです。

同業者としては「人の振り見て我が振り直せ」で、自院の体制と比較しながら、セキュリティリスクが潜んでいないか振り返ることが大切と言えます。

 

報告書は、事案の全容を報告した「本編」と、技術面から原因と対策を提言した「技術編」の2冊あります。技術編に書かれている対策をすべて採用するのは予算的・技術的に難しいでしょうが、最低限取るべき対策は「既知の脆弱性への対応」でしょう。

 

4.2.2 同脆弱性を利用した認証情報が漏洩したが、ID、パスワードを変更していなかった

◼ 87,000 台の VPN 装置の ID、パスワードがインターネットに公開

2021 年 9 月に同脆弱性を悪用し全世界で 87,000 台の ID、パスワードが公開されたが、本件調査では、その漏洩データに、半田病院のグローバル IP アドレス、ID、パスワードが含まれていた事を確認している。

 

◼ 脆弱性に関する多数の報道

開発元の FORTINET 社からは 2019 年 5 月、2019 年 8 月、2020 年 7 月、2021 年 4 月、2021年 6 月、2021 年 9 月に渡って再三、是正措置の告知があった。加えて、事案の重大性によって、多数の報道がなされていた

 

https://www.handa-hospital.jp/topics/2022/0616/report_02.pdf

10ページより

 

本事件での最大のリスク要因が、このVPN装置の脆弱性でした。多数のIT系ニュースサイトで「Fortinet社製VPN装置(当該病院で採用されていた機種)のIDとパスワードが漏洩した」と報道されていたにもかかわらず、それをキャッチせず、対策もしていなかったところが問題点として指摘されています。

 

注目すべきは、漏洩してから攻撃を受けるまでが短期間だったこと。ID・パスワードが公開されたのが2021年9月で、同病院が攻撃されたのが同年10月末。情報が漏洩してからわずか2ヶ月での犯行と見られ、セキュリティリスクが判明した時にはいち早い対策が必要であることが分かります。

 

積極的に設備投資をして防御線を張るのも大切ですが、まずはこうした既知の問題をしっかり拾い上げる体制を作っておくことや、導入済み製品のアフターフォローをベンダーが行う、といった当たり前の保守サービスが履行されていることを確認すべきと思います。

 

電子カルテシステムの導入時は相応のセキュリティ対策を構築していたはずですから、不具合への対策が適切に取られていれば、最低限の防御は出来たはず。悪意のあるハッカーは、「困難なセキュリティの壁を頑張って突破する」よりも「隙だらけで侵入しやすいところを狙う」でしょうから、ごく基本的な対策がまずは急務と言えます。

 

車にリコールが掛かったらすぐにメーカーに連絡するのと同じように、危機感持たないといけないってことだね。

 

▼少し前まで、ランサムウェアの主な感染源はメールでした。添付ファイルを暗号化して送るPPAPはウイルスの温床となっており時代遅れの方法となりつつあるので、病院でも利用しない方が得策と言えます。こちらの記事でその理由について説明しました。

 

whitefox21.hatenablog.com

 

▼VPNを使うなら、国産メーカーもオススメできます。業務用ルータに定評のあるYAMAHAの製品は、直感的に操作できる分かりやすいGUIが人気。国内メーカーならいざというときにも連絡が付きやすいはず。検討の価値はありますよ。

 

whitefox21.hatenablog.com

 

 

 

厚労省が協力して医療界のサイバー攻撃対策組織を発足

 

産経新聞の報道です。厚生労働省協力のもと、日本医師会などを主力メンバーとしたサイバー攻撃対策組織を発足するとのこと。

 

 

news.yahoo.co.jp

 

サイバー攻撃に関する情報収集や分析を平時から行い、医療機関に共有してセキュリティ対策を強化する狙いだそうです。

 

サイバーセキュリティへの対策強化を目的として事業者同士で情報を共有し合う民間組織・ISAC(Information Sharing and Analysis Center;アイザック)を医療界でも立ち上げようとする動きが厚労省にありましたので、これを受けた形なのでは?と見られます。

 

 

www.mhlw.go.jp

 

 

https://www.mhlw.go.jp/content/10808000/000943450.pdf

 

ISACと呼ばれる組織自体は、金融・通信・電気といった生活インフラを支える業界で既に運営されており、ここに医療が新たに加えられる格好です。

サイバー攻撃はもはや個人やいち法人の被害に留まらず、インフラ事業者や自治体など公的かつ広範囲なサービスへと被害が広がってきました。国民が安心して利用でき、かつ安定してサービスを受けられるよう、同業者同士で速やかに情報を共有するプラットフォームを整える必要がある、というわけですね。

 

医療分野においても最近ではランサムウェアによる被害が増加していますので、素早く情報共有できる仕組みを整えていくことになります。今後の動向が注目されます。

 

「そもそもサイバー攻撃ってどんなものがあるの?」という方は、こちらの記事で取り上げていますので併せて読んでみてくださいね。

 

whitefox21.hatenablog.com

 

▼万が一サイバー攻撃の被害に遭った場合の備えも肝心。最近は保険会社が「サイバー保険」を取り扱うようになり、病院でも対策が必要になってきました。加入を検討される場合は、こちらの記事が参考になるかもしれません。

 

whitefox21.hatenablog.com

 

 

2022年6月16日 Internet Explorer 11正式終了

 

www.ipa.go.jp

 

かねてから告知されていた通り、Internet Explorer (最終バージョンは11)がついに公式サポート終了を迎えました。本記事公開時点(2022年7月1日)で私のPCでは、まだIEを起動できますが、いずれ単体での起動ができなくなります。

 

某自治体の職員が「急に言われても困る」とコメントして失笑を買っていましたが、情シス(情報システム部門)の担当なら1年前からとうに知っているはずの告知。病院に勤める医療情報技師であれば、院内で稼働しているシステムでIEが使われていないか調査し、すでに代替措置が取られているでしょう。今更あたふたする事案ではないですね。

 

私のところでは、ヤフーニュースのトップ記事になった当日の朝に「うちは大丈夫なのか?」って偉い人から聞かれましたね。

 

詳しくない人からすれば、おおごとに受け止められるかもしれないね。

 

しかしながら、観測範囲外でトラブルが起きることもあります。関連事業所や近隣病院から「IEが動かない、助けて!」とヘルプが求められるかもしれません。

IEが動かせない場合のEdgeの「IEモード」、Chromeの拡張機能を利用した「IE Tab」などの代替手段を頭に入れておくと、とっさの対応が求められた時に役立つと思います。

 

atmarkit.itmedia.co.jp

 

IE終了にあたって病院がしておくべきことは、以前記事に起こしました。何をすればいいのか迷っている、という方は参考にしてみてください。

whitefox21.hatenablog.com

 

科学的介護情報システム(LIFE)は、動作環境にIEが含まれていました。Edgeへ切り替える必要がありますので、関係のある方はこちらもチェックしてみてください。

whitefox21.hatenablog.com

 

 

 

 

以上、医療情報技師の私が注目した、2022年6月のニュースを取り上げました。

 

個人的には、IE終了は思ったより影響が小さかったなと感じました。

院内のシステム調査はもちろん事前に済んでいましたし、IEが使えなくなっても問題はないと踏んでいましたが、そうとは言え想定外の事態も考えておかなくてはなりません。

IEの公式サポートが終了する6月16日以降、問い合わせが急増するのではないかと覚悟はしていましたが、現場からの問い合わせもほとんどなく、ほっと胸をなでおろした6月でした。

 

 

 最後に

当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。

 

面白いと思ったら、ぜひブラウザにお気に入りの登録をお願いします!

人気記事もぜひ読んでいってくださいね。

 人気記事を見る

 

▼面白かったと思って頂けたら、ぜひ下の「人気ブログランキング」のボタンを押してください!


システムエンジニアランキング

©病院の情シスで働く医療情報技師の奮闘記 All Rights Reserved
プライバシーポリシー・ お問い合わせ