2022年3月24日
特定非営利活動法人 プロフェッショナル イングリッシュ コミュニケーション協会

デジタル化の急速な進展に伴い、「サイバーセキュリティ」という言葉を耳にされたことはないでしょうか。 国や企業が今まさに取り組んでいることですが、医療機関も例外ではありません。カルテの電子化や様々な情報システムの導入、院外ネットワークとの接続などが今や当たり前になる中、患者の情報を保護し、病院システムを滞りなく回して継続的な医療サービスを提供するためにはサイバーセキュリティがしっかりと為されることが非常に重要なのです。

このコラムでは3回シリーズで「看護師にとってのサイバーセキュリティ」について紹介してまいります。

• 第1回：　なぜ今サイバーセキュリティについての理解が必要なのか
• 第2回：　サイバーセキュリテイに関わる語彙
• 第3回：　看護師が今、実践できること

では、さっそく今回のテーマに入りましょう。

まず、サイバーセキュリティとは一体何でしょうか。

「サイバー基本法」の定義は少々難解ですので、このコラムでは、サイバーセキュリテイとは「インターネットなどのサイバースペースにおけるシステムの破壊、不正侵入、情報流出、データ改ざんなどからシステムやネットワークの安全性及び信頼性が確保される措置が講じられ、その状態が適切に維持されること」とします。

「サイバーセキュリティはシステム部門の問題」と他人事のように考えてはいませんか？

今、医療機関におけるサイバーセキュリティは、システムを使用する全てのスタッフが真剣に取り組まなければならない事案になっています。（註1）現在、厚生労働省も「医療機関向けセキュリティ教育動画」をアップしていますので、ぜひ参考にしていただければと思います。(註2)　また、イギリスでは医療従事者に対するサイバーセキュリティトレーニングに関する論文も既に発表されております。(註3)

上記に挙げました厚生労働省の教育動画の中では、セキュリティ事故が起こる原因として、

1. 外的かつ意図的な要因（コンピューターウイルスなどの外からの攻撃）
2. 外的かつ偶発的な要因（委託事業者のミス）
3. 内的かつ意図的な要因（内部スタッフによる不正行為）
4. 内的かつ偶発的な要因（内部スタッフのミス）

が、挙げられています。今回は、①外的かつ意図的な要因に絞り、コンピューターウイルスの中でも身代金型の不正プログラム「ランサムウェア Ransomware （造語ransom：身代金＋software：コンピューター上のソフトウェア）」の脅威と、日本において攻撃された病院の事例を挙げ、サイバーセキュリティの重要性を考えてみたいと思います。

ランサムウェアは感染させたシステムに特定の制御を加え、その制御の解除と引き換えに金銭を要求します。 データを暗号化しそれを解除するための身代金を要求する初期の段階から、2021年以降、盗んだ情報を暴露するという脅し、意図的にアクセスを集中させてシステムをダウンさせるという脅し、被害者の顧客へのメールなど顧客をも巻き込んだ脅しなど、脅迫が3重4重になってきています。(註4)

盗んだデータを闇サイトで売るなどビジネス化しており、個人情報の宝庫とも言える患者情報を抱える医療機関にとっては大きな脅威となっています。また、サイバー攻撃によって、病院のシステムが破壊され医療機器が停止すれば、患者の診療・安全にも大きな影響を与えることになります。（註5）

日本の例では、2021年10月に四国の町立病院が攻撃されたのが記憶に新しいところです。 約85,000人分の電子カルテのデータが暗号化され、システムはダウン。検査結果、X線画像、処方薬の記録なども全く使うことができず、復旧に2カ月以上を要しました。(註6)

厚生労働省によると、電子カルテは2017年時点で、全国の一般病院の46.7%まで普及しており(註7)、電子カルテシステムが被害を受けると、連動する医事会計システムも使えないという事態になります。

また、2021年12月上旬に東京都が都立病院に対しサイバーテロに対する注意喚起を行ったというニュース（註8）、2022年1月12日には愛知県春日井市のリハビリテーションセンターが攻撃されたという報道もありました。(註9)

人命にかかわる治療行為に人手が取られる医療機関においては、システム管理が全体に行き届かず、その脆弱性を狙われがちであり、またCOVID-19のパンデミックによる現場の混乱がランサムウェア被害の増加に拍車をかけています。(註10)

アメリカのサイバーセキュリティ関連会社が2021年11月に発表した、医療機関に勤務するITのプロフェッショナル400名に行った調査では、回答者の85％がこの12カ月の間にサイバー空間の危険が増していることを確認しており、勤務先の医療機関がランサムウェアのアタックを受けたと58%の方が回答しています。（註11）

そして先の事例を見ても、日本においてもサイバーセキュリティは喫緊の課題になっています。

サイバーセキュリティについては、ネット上でも英語での記事を目にすることも多いでしょう。そのような記事にも関心を持っていただくため、次回は、サイバーセキュリティに関わる代表的な語彙について解説していきます。

• 註1：https://www.mhlw.go.jp/content/10808000/000644753.pdf
  医療機関を取り巻く情報セキュリティの現状　医療情報連携ネットワーク支援Navi　厚生労働省　(参照；2022/1/22)
• 註2：https://www.youtube.com/watch?v=I_udMT26DeE
  医療機関向けセキュリティ教育動画　厚生労働省　（参照：2022/2/24）
• 註3：Cybersecurity Training in the Healthcare Workforce -Use of the ADDIE Model Mathew Pears/Stathis Konstantinidis School of Health Sciences University of Nottingham
• 註4：https://www.japacom.co.jp/blog/toda/p5/1-4.shtml
  ランサムウェアが世界的に脅威となっている　JCS　（参照2022/1/27）
• 註5：https://nkgr.co.jp/useful/hospital-insurance-74947/
  医療機関に対するサイバー攻撃とサイバーセキュリティ対策　日本経営　(参照2022/1/27)
• 註6：https://www.yomiuri.co.jp/local/kansai/news/20211229-OYO1T50000/
  読売新聞オンライン　（参照2022/1/25）
• 註7：https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/index.html
  医療分野の情報化の推進について　厚生労働省　（参照2022/1/25）
• 註8：https://news.ntv.co.jp/category/society/c5b5dd4ec7744a619d82eb04ae7b03ca
  日テレニュース　（参照2022/1/26）
• 註9：https://www.helpnetsecurity.com/2021/11/15/healthcare-organizations-attack-surface/
  NHK NEWS WEB　(参照2022/1/26)
• 註10：https://www.fsight.jp/articles/-/48440
  コロナ禍で医療機関を狙い撃ちにするランサムウェア攻撃　新潮社Foresight　（参照2022/1/27）
• 註11：https://www.helpnetsecurity.com/2021/11/15/healthcare-organizations-attack-surface/
  HELP NET SECURITY　(参照2022/1/26)