病院のSEとして10年以上働いている白狐(しろぎつね)です。
いよいよ年の瀬を迎えました。
振り返ると今年も病院はコロナに振り回された一年でしたが、ランサムウェアというコンピュータウイルスが医療業界を震撼させた年でもありました。
2021年10月に被害を受けた徳島県のつるぎ町立半田病院に始まり、大阪の病院、そして今回紹介する金沢の病院と、サイバー攻撃のリスクが次々と表面化しています。これまで電子カルテは閉域網にあることからセキュリティ対策の優先度は低く見られていましたが、相次ぐ被害にもはや対岸の火事では済まなくなっています。
これに合わせて、厚生労働省は医療機関向けのセキュリティ教育支援サイトを設立したり、診療録管理体制加算を算定する400床以上の病院については専任の医療情報システム安全管理者配置を義務付けたりと、対策を急いでいます。
そこで今年最後の記事は、医療機関にまつわるセキュリティ関連のニュースで締めくくりたいと思います。
2022年も当ブログをご覧いただき、ありがとうございました!
目次
応援してくださる方は、励みになりますので「人気ブログランキング」ボタンのクリックをお願いします!
※クリックすると私に票が入ります。押すだけなら無料(笑)!情報が取られる等はありませんので、ぜひ応援よろしくお願いしますm(_ _)m
システムエンジニアランキング
医療機関向けセキュリティ教育支援ポータルサイト
医療機関がサイバーセキュリティの研修を受けたり、インシデント発生時の報告をしたりするためのポータルサイトを、厚労省が開設しました。出来立てのためコンテンツは少ないですが、セキュリティというワンテーマに特化した官製サイトの立ち上げには大歓迎です。
これまでの厚労省の取り組みは、言い方は悪いですが申し訳程度に作ったページがあるだけで、お世辞にも使いやすい・読みやすいものとは言えませんでした。
▼医療分野のサイバーセキュリティ対策について|厚生労働省
デザインもナビゲーションもあったものではなく、どこになんの情報があるのか整理もされておらず、コンテンツがただ列挙された状態。これでは、日々アクセスして情報収集しようとは思えません。
メッタ斬りだな。
いっぽう新設されたポータルサイトはグローバルナビゲーションが設けられ、各カテゴリーにアクセスしやすくなっています。またお知らせがRSSに対応しているため、更新情報を効率良く収集できます。
私はRSSでニュースを拾い読みするので、ありがたいです!
「官製」であることが重要なんですね。民間企業がいくらサイバーセキュリティ対策を謳い、われわれ院内SEが予算確保を要求しても、「必要なのは分かるけど厳しいよねー」などと後回しにされ、なかなか病院の経営層に響かないのが実情。しかし厚労省の紋所があれば話は別で、「厚労省がやれというなら、やらなきゃだめだね」となります。
当ブログの読者はとうにご存知でしょうが、2022年4月の診療報酬改定で診療録管理体制加算の施設基準が厳格化されました。
個人的には、この診療報酬改定が病院のIT事情において大きな転換点になったと思っています。医療機関にとって、投資判断の根拠となるのはやはり診療報酬。先進的な取り組みを行う病院は別として、多くは売上につながらない投資に踏み切れません。IT化に割くくらいなら、より高額で専門的な医療機器や人件費に割くほうが売上につながるからです。
しかし診療録管理体制加算の要件として「医療情報システム安全管理責任者の配置」や定期的な研修を行うことが義務であるなら、必然的にそこへコストを投入することになります。サイバー攻撃による診療停止や収益損失など実害が大きくなる中で、セキュリティ強化の流れは今後ますます強まっていくでしょう。本ポータルサイトのコンテンツ拡充には注目すべきだと思います。
金沢西病院へサイバー攻撃 電子カルテの一部閲覧できない状態|NHK 石川県のニュース
またもや病院がサイバー攻撃の標的となりました。金沢西病院が電子カルテの一部を閲覧できない状態になっているとのこと。ランサムウェアかどうかは分かりませんが、不正アクセスによるものと報道されています。
金沢西病院は166床とそれほど大きな規模ではありません。やはり攻撃は病床数の大小にかかわらず、見境なく標的にしていることが分かります。
ランサムウェアによって甚大な被害を受けた徳島県のつるぎ町立半田病院、大阪急性期・総合医療センターに共通するのは、VPNにFortiGate 60Eを使っていたこと(大阪の病院は電子カルテ本体ではなく給食システムからの侵入)。この型番はソフトウェアの脆弱性がメーカーから公表されており、ファームウェアのアップデートによりセキュリティホールを防げたのではと見られています。
勝手な想像ですが、クラッカーたちはFortiGate 60Eを導入しているリストを入手しており、該当施設に対しランダムに仕掛けてきているのでは?と思っています。身代金が取れそうな大企業を狙うならともかく、小さな町のいち病院を狙う理由がどうにも見当たらないからです。つまりカモにしやすいところを標的にしている可能性があります。
潜在的なセキュリティリスクを100%防ぐのは難しいですが、少なくとも公になっている脆弱性にはしっかり対処し、同じ轍を踏まない対策をしておきたいと思うばかりです。
病院サイバー対策で支援組織 厚労省主導、日本医師会と
厚労省が主導となり、日本医師会や製薬会社などと作るサイバー対策組織を設立するようです。国を挙げての早急な対策が望まれますね。
病院のIT投資は、いまだ出し渋られる傾向にあります。費用対効果が見えづらいためか、業務の効率化やセキュリティ対策の必要性が経営陣に理解されにくいのです。ましてやコロナ禍に入ってからは、コロナ感染者用の設備や検査体制を急にこしらえなければならなかったため想定外の出費が続き、IT投資どころではない病院も多いはず。
しかしサイバー攻撃はもはや待ったなし。実害のあった病院を引き合いに出し、医療情報技師などのIT専門家の配置やシステム管理体制の見直し、セキュリティ対策状況の把握などを速やかに進めていかなくてはなりません。各病院の対策が急がれます。
以上、2022年12月に発表されたニュースの中から、医療情報技師の私が注目したものを3つ紹介しました。
今年も当ブログをお読みいただき、ありがとうございました。
来年も医療情報技師の認知度向上を目指し、定期的に更新していきます。つたない内容ではありますが、お付き合いいただければ嬉しいです。
それでは読者の皆様、よいお年を!!
事故や病気には気を付けようね。(久々に登場)
最後に
当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。
面白いと思ったら、ぜひブラウザにお気に入りの登録をお願いします!
人気記事もぜひ読んでいってくださいね。
▼面白かったと思って頂けたら、ぜひ下の「人気ブログランキング」のボタンを押してください!