2022年3月24日
最終回の今回は、医療スタッフの一員である看護師がサイバーセキュリティについて実践すべきことは何か、について考えます。
第1回のコラムにも書きましたが、厚生労働省の教育動画の中では、セキュリティ事故が起こる原因として、
直ぐに実践できることはー
個人の会員登録サイトなどでも、一つ一つパスワードを変えることが推奨されています。
医療機関内のID・パスワードも職員で共有せず、個々に別のパスワードを使用する、また定期的にパスワードを変えることで、ハッカーの侵入を防ぎます。パスワードは個人情報から推測されるものは避けることが大切です。
例えば、マルウェアmalware(造語malicious:悪意のある+software:ソフトウェア)に感染した別のデバイスと接続したことがある個人のデバイスをシステムに接続した場合、意図せずにシステムをそのマルウェアに感染させ、ハッカーを容易に侵入させてしまう可能性があります。
送信者は知っている人であるかどうか、知っている人であってもメールアドレスに変化はないか、リンク先は正規のものか、などしっかりと確認します。疑わしいアドレスからのメール、特に添付ファイル(PDF・エクセル・ワード)はマルウェアの可能性が高いので絶対に開かないことが大切です。
サイバー犯罪者の代表的な手口として、緊急事態を装って重要な情報をメールや電話を介して引き出そうとします。例えば、所属機関のIT部門を装った送信者から「あなたのパスワードは危険にさらされています。このリンクからパスワードを設定し直してください。」というようなメールが届いた場合、慌てずに必ず「確認してから連絡し直す」とし、即座の対応は絶対に避けましょう。
個人メールやSNSなどの情報から職場のアカウントやパスワードを推測される可能性があります。また、SNSの情報がソーシャルエンジニアリングの格好の題材になることもあり得ます。
スマートフォンは情報の宝庫です。ロックをかけ、紛失しないよう十分に注意しましょう。
インターネットを介した医療機器や医療アプリを日常的に使用している患者へは、1~5の注意事項の指導を行う必要があります。患者の医療機器が乗っ取られて適切な治療行為ができなくなったり、患者の医療機器からシステム全体が乗っ取られるようなことは絶対に避けなければなりません。
データ漏えいは必ずしもコンピューターの中だけで起こるとは限りません。普段から不審者に気をつけ、ナースステーションの近くに見かけない人がいたら声をかけることで、サイバー犯罪者が実際に病院内でコンピューターにアクセスしたり、USBなどで情報を得ることを防ぐことができます。
上記のような基本的な知識や、実際に起こった事例を元にしたワークショップなどを所属の医療機関で行っていれば積極的に参加しましょう。もし、まだ行われていなければ、先に紹介した厚生労働省の「医療機関向けセキュリテイ教育動画」を参照したり、所属機関に研修会の実施を働きかけてください。
イギリスでは2019年9月に「Keep I.T. Confidential(情報技術の機密を守ろう)」というキャンペーンがNHS(National Health Service:ナショナルヘルスサービス)によって開始されています。パスワード、フィッシング、モバイルデバイスのリスク、ソーシャルエンジニアリングなどについて教育し、医療スタッフを幅広く適切にサポートしています。しかし、より専門的な看護業務の分野や看護学生への教育にはまだ物足りない内容のようです。
実際に学生を主体にしたトレーニングも始まっており、ADDIE(Analysis:分析 Design:設計 Development:開発 Implementation:実施 Evaluation:評価)モデルを使用して、より効果的で利用しやすい内容を目指しています。
また、アメリカでは既に初等教育の段階からコンピュータープログラミングを学ぶのと同時にサイバーセキュリティについて学ぶプログラムが出来上がっています。
今後は日本でも、医療機関に現在働いている職員に向けてはもちろん、看護学生あるいは中高生の年代からのサイバーセキュリティ教育が必要不可欠になってくるでしょう。 このコラムがサイバーセキュリティに対して少しでも興味を引くきっかけとなれば幸いです。
特定非営利活動法人プロフェッショナルイングリッシュコミュニケーション協会
〒105-0001 東京都港区虎ノ門1-14-1 郵政福祉琴平ビル5階
Copyright © Institute for Professional English Communication All Rights Reserved.