医療機関における
サイバーセキュリティ対策
チェックリスト対応方法
最近の情勢を鑑み、厚生労働省は令和5年度から医療機関に対するサイバーセキュリティ対策の強化を義務化しました。本年度中に対応が必要な箇所について、項目の説明や対応方法をご紹介します。
この資料の流れ
サイバーセキュリティ立ち入り検査の理由や目的、そしてについて説明します。
令和五年で求められている医療施設での対応や必要なアクションなどを説明します。
令和5年の立ち入り検査の概要と事前準備について説明します。
サイバーセキュリティ立ち入り検査の目的
サイバーセキュリティ関連の被害が増加する現状を踏まえ、厚生労働省は立入検査プロセスにサイバーセキュリティチェックリストを新たに導入しました。(医療法施行規則第14条第2項および、医療法第25条第1項)
この検査は、医療機関が法律で定められた基準に沿って適切に運営されているかを確認するために行われ、スタッフの配置、施設や設備の状態、管理運営の適切さが検証されます。
今回の改定により、他の検査項目と同様に、サイバーセキュリティに関する調査も実施されることになりました。
サイバーセキュリティの重要性が高まる中、病院や診療所は電子的に保管された患者情報を保護するために、強化されたセキュリティ対策を講じる必要があります。
これを実現するためには、最新の安全管理ガイドラインに基づく適切なセキュリティ対策の実施が求められています。
新しく設けられたサイバーセキュリティチェックリストは、都道府県や保健所が医療
機関のサイバーセキュリティ対策を確認するためのものです。このチェックリストは、IT専門知識がない総務担当者にとっては初めての取り組みであり、多くの担当者がどのように対応すればよいか迷っています。
しかし、このチェックリストを活用することで、医療機関は患者情報の安全を守り、サイバーセキュリティ対策を効果的に整備するための重要なステップを踏むことができます。
これにより、医療機関のサイバーセキュリティ対策が向上することが期待されます。
次の章では、検査を受ける医療機関の担当者として、事前にどのような調査を行い、どのような準備をしておくべきかについて解説します。
各医療機関に求められている事項
体制構築
1.医療情報システム安全管理責任者の設置
・責任者を指名し、セキュリティポリシーとプロセスの策定に責任を持たせる。
・責任者に対する明確な役割と権限を文書化し、組織内で共有する。
TSUNAGUコメント:
法的要件を経営陣に説明し、安全管理責任者を指名していただくことが重要です。予算や工数の確保のためには、決定権を持つ方に安全管理責任者をお願いすると良いでしょう。
医療情報システムの管理・運用
1. 台帳管理の実施
・サーバ、PC、ネットワーク機器などの資産リストを作成し、定期的に更新する。
・資産の配置、責任者、セキュリティ設定の状況を記録する。
TSUNAGUコメント:
まず、最も人手を要する作業は、サーバー、PC、ネットワーク機器の資産リストの作成です。これらは、通常、異なる部署や担当者が管理しているため、リスト作成には時間がかかるでしょう。また、無断で設置されたネットワーク機器が存在することもあります。すべてのネットワーク機器を点検し、資産管理番号を割り当て、シリアル番号やファームウェア、OSのバージョンなどの情報を収集する必要があります。この過程で、管理者権限のIDやパスワードが不明であるといったトラブルに遭遇することもあります。
2.リモートメンテナンスの確認
・リモートメンテナンスを行っている全ての機器を特定し、リスト化する。
・各機器に対するセキュリティ対策(強固な認証、通信の暗号化など)を確認し、不足があれば補強する。
TSUNAGUコメント:院内システムの管理を担っている外部のベンダーが存在する場合、そのベンダーがメンテナンス目的で使用しているVPNについて調査しましょう。さらに、院内スタッフが自宅など外部の場所からシステムへアクセスしている可能性についても検討します。管理者が把握していない場所からリモートアクセスソフトウェアを使用して院外からの接続が行われている場合があるため、この調査は複雑になる可能性があります。
3.セキュリティ開示書の取得
・使用している医療情報システムの製造業者やサービス提供者からセキュリティ開示書を取得する。
・開示書の内容を確認し、必要なセキュリティ対策が講じられているかを評価する。
TSUNAGUコメント:院内カルテを含むネットワーク、サーバー、PC全体の保守を行っている場合、実際には何も管理できていない状況になることもあります。そのような場合には、責任の範囲を明確にするためにも、ベンダーからセキュリティに関する開示書を取得し、ベンダーの責任範囲と医療機関の責任範囲を明確に理解することが重要です。これにより、必要なセキュリティ対策を適切に実施することが可能となります。
4.アクセス権限の管理
・利用者ごとにアクセス権限を設定し、不要なアクセスは制限する。
TSUNAGUコメント:逆に考えると、次のように理解することができます。①共通パスワードは使用しないこと、②すべてのユーザーに管理者権限を与えないこと、です。個々のユーザーに対してアカウントを発行し、必要最小限のアクセス権限のみを付与するようにしてください。特にNASの場合は、必要なディレクトリのみにアクセスできるよう制限することが重要です。
5.退職者や使用していないアカウント等、不要なアカウントを削除
・定期的に権限を見直し、退職者のアカウントは迅速に削除する。
TSUNAGUコメント:退社した人がいる場合は、迅速にアカウントを削除するなどの対応を行いましょう。定期的に現存するアカウントを確認し、使用されていないアカウントがないかをチェックしてください。
6.アクセスログの管理
・システムへのアクセスログを記録し、定期的にレビューを行う。
・不審なアクセスパターンが検出された場合は、迅速に調査を行う。
TSUNAGUコメント:サーバーなどのアクセスログには、容量制限が設けられている場合があります。不正アクセスが発生した際にアクセスログが消去されないよう、ログのバックアップ取得と、不正アクセスの検出が可能な体制を整備してください。
インシデント発生に備えた対応
1. 連絡体制図の作成
・インシデント発生時の内部連絡体制および外部連絡先(事業者、警察、厚生労働省など)を明確にする体制図を作成する。
・体制図を組織内の適切な場所に掲示し、関係者全員がアクセスできるようにする。
TSUNAGUコメント:令和5年度には体制図の作成が予定されていますが、書類上だけでなく、実際に機能する連絡体制を整備しましょう。その理由は、来年度にはシステムバックアップやBCP(事業継続計画)対策に対する対応も求められるからです。
事前に準備すべき事
当日までにチェックリストを記入することも重要ですが、そのチェックリストが何を求めているのかを正しく理解することがさらに重要です。チェックリストには、「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル ~医療機関・事業者向け~」を参照するよう指示があります。したがって、各項目を丁寧に読み込んで理解することが大切です。
令和5年度においては、「医療機関確認用」と「事業者確認用」の全項目について、初回確認の日付と回答が記載されているかを確認します(※)。特に、項目3(1)にある連絡体制図については、実物を確認するため、立入検査前に作成しておく必要があります。
さらに質問に答えらえる様に、体制連絡図や機器台帳、利用者ID台帳、各種棚卸調査資料などを印刷しておくことを推奨します。
無料ご相談
弊社では、御社に寄り添う形で、サーバーセキュリティの向上を目指すコンサルティングサービスを提供しています。厚生労働省のサイバーセキュリティチェックリストに関しては、初回無料相談を実施しております。具体的には、御社の現状をヒアリングした上で、チェックリストの質問項目の理解、社内で確認すべき事項、確認方法などについてアドバイスを提供しています。何かお力になれることがございましたら、以下の受付フォームよりお申し込みください。迅速に日程調整のご連絡を差し上げます。