What's New

看護師にとってのサイバーセキュリティ
 <第3回 看護師が今、実践できること>

2022年3月24日

最終回の今回は、医療スタッフの一員である看護師がサイバーセキュリティについて実践すべきことは何か、について考えます。

第1回のコラムにも書きましたが、厚生労働省の教育動画の中では、セキュリティ事故が起こる原因として、

  1. 外的かつ意図的な要因(コンピューターウイルスなどの外からの攻撃)
  2. 外的かつ偶発的な要因(委託事業者のミス)
  3. 内的かつ意図的な要因(内部スタッフによる不正行為)
  4. 内的かつ偶発的な要因(内部スタッフのミス)
が、挙げられています。看護師として注意すべきは④となります。そして、看護師を含む医療スタッフ全員のサイバーセキュリティの知識や、コンピューターを扱う手技の向上は、①~③のセキュリテイ事故を防ぐための最終防衛ラインとしてもとても重要です。

直ぐに実践できることはー

1.複数のアカウントで同じパスワードを使用しない

個人の会員登録サイトなどでも、一つ一つパスワードを変えることが推奨されています。
医療機関内のID・パスワードも職員で共有せず、個々に別のパスワードを使用する、また定期的にパスワードを変えることで、ハッカーの侵入を防ぎます。パスワードは個人情報から推測されるものは避けることが大切です。

2.個人のデバイス(スマートフォンやタブレット)、あるいは所属組織から許可されていないデバイスを絶対に医療機関内のコンピューターシステムに接続しない。

例えば、マルウェアmalware(造語malicious:悪意のある+software:ソフトウェア)に感染した別のデバイスと接続したことがある個人のデバイスをシステムに接続した場合、意図せずにシステムをそのマルウェアに感染させ、ハッカーを容易に侵入させてしまう可能性があります。

3.メールを精査することなく添付ファイルやメール内のリンクをクリックしない。

送信者は知っている人であるかどうか、知っている人であってもメールアドレスに変化はないか、リンク先は正規のものか、などしっかりと確認します。疑わしいアドレスからのメール、特に添付ファイル(PDF・エクセル・ワード)はマルウェアの可能性が高いので絶対に開かないことが大切です。

4.緊急事態を装ったリクエストには注意する。

サイバー犯罪者の代表的な手口として、緊急事態を装って重要な情報をメールや電話を介して引き出そうとします。例えば、所属機関のIT部門を装った送信者から「あなたのパスワードは危険にさらされています。このリンクからパスワードを設定し直してください。」というようなメールが届いた場合、慌てずに必ず「確認してから連絡し直す」とし、即座の対応は絶対に避けましょう。

5.個人のメールアカウント、SNSアカウントにも注意を払い、スマートフォンなどの紛失にも気をつける。

個人メールやSNSなどの情報から職場のアカウントやパスワードを推測される可能性があります。また、SNSの情報がソーシャルエンジニアリングの格好の題材になることもあり得ます。
スマートフォンは情報の宝庫です。ロックをかけ、紛失しないよう十分に注意しましょう。

6.インターネットに接続する医療機器を使用する患者へのサイバーセキュリテイの指導

インターネットを介した医療機器や医療アプリを日常的に使用している患者へは、1~5の注意事項の指導を行う必要があります。患者の医療機器が乗っ取られて適切な治療行為ができなくなったり、患者の医療機器からシステム全体が乗っ取られるようなことは絶対に避けなければなりません。

7.現実の自分の周りで起きていることにも注意を払う。

データ漏えいは必ずしもコンピューターの中だけで起こるとは限りません。普段から不審者に気をつけ、ナースステーションの近くに見かけない人がいたら声をかけることで、サイバー犯罪者が実際に病院内でコンピューターにアクセスしたり、USBなどで情報を得ることを防ぐことができます。

8.サイバーセキュリティ アウェアネス トレーニング(講習会・研修会)への積極的な参加

上記のような基本的な知識や、実際に起こった事例を元にしたワークショップなどを所属の医療機関で行っていれば積極的に参加しましょう。もし、まだ行われていなければ、先に紹介した厚生労働省の「医療機関向けセキュリテイ教育動画」を参照したり、所属機関に研修会の実施を働きかけてください。

イギリスでは2019年9月に「Keep I.T. Confidential(情報技術の機密を守ろう)」というキャンペーンがNHS(National Health Service:ナショナルヘルスサービス)によって開始されています。パスワード、フィッシング、モバイルデバイスのリスク、ソーシャルエンジニアリングなどについて教育し、医療スタッフを幅広く適切にサポートしています。しかし、より専門的な看護業務の分野や看護学生への教育にはまだ物足りない内容のようです。
実際に学生を主体にしたトレーニングも始まっており、ADDIE(Analysis:分析 Design:設計 Development:開発 Implementation:実施 Evaluation:評価)モデルを使用して、より効果的で利用しやすい内容を目指しています。

また、アメリカでは既に初等教育の段階からコンピュータープログラミングを学ぶのと同時にサイバーセキュリティについて学ぶプログラムが出来上がっています。

今後は日本でも、医療機関に現在働いている職員に向けてはもちろん、看護学生あるいは中高生の年代からのサイバーセキュリティ教育が必要不可欠になってくるでしょう。 このコラムがサイバーセキュリティに対して少しでも興味を引くきっかけとなれば幸いです。

<参考>
  • https://www.youtube.com/watch?v=I_udMT26DeE
    医療機関向けセキュリティ教育動画 厚生労働省 (参照:2022/2/24)
  • Mathew Pears and Stathis Konstantinidis, School of Health Sciences, University of Nottingham ‘Cybersecurity Training in the Healthcare Workforce -Use of the ADDIE Model’ (参照:2022/2/24)
  • https://dailynurse.com/cybersecurity-what-nurses-need-to-know/
    Cybersecurity::What Nurses Need to Know Blog, Career Advice (参照:2022/2/24)
  • https://starfishmedical.com/blog/hacking-medical-devices/
    Hacking medical devices (参照:2022/02/03)
  • Corinne McSpedon ‘What Nurse Need to Know About Cybersecurity and Patient Health’ blog of the American Journal of Nursing (参照:2022/2/24)
  • IPEC 「アメリカのK-12の教育段階におけるサイバーセキュリティ教育に関する2021年の動向に学ぶ」 (参照:2022/2/24)
カテゴリ一覧
コラム
海外体験談
看護留学
セミナーレポート
オンラインプログラム
看護英語テキスト