第684号コラム:江原 悠介 理事・「医療」分科会 主査(PwCあらた有限責任監査法人 シニアマネージャー)
題:「病院でランサム被害の未然/拡大防止を図るために、システム担当者は最低限何をすべきなのか」

ご存知の通り、当今、ランサムウェアによるサイバー攻撃も様々なパターンを見せるようになっている。以前はデータを暗号化し、復号化を求めるのであれば身代金を払うことを求める攻撃が多かったが、今はデータを暗号化するとともに、外部へ公開されたくなければ身代金を払えというものが多い。

このように脅迫のアプローチは業務システムの可用性を侵害し企業経営へダメージを及ぼすシンプルなものから、ステークホルダーも巻き込み、レピュテーションリスクやリーガルリスクも含めて企業を揺るがし、強く広範なダメージを与える手法へ切り替えがはかられている。

攻撃集団も昔のようにスクリプトキディな愉快犯は影を潜め、ビジネス(あるいは政治的な目的)としてサイバー攻撃を行う組織が確実に組成されている。相手の防衛網を潜り抜け、いかに目的を達成するかというプロの手口がうかがえることからも、数年前とはサイバーリスクの様相は大きく様変わりしている。

では、防衛側の状況はどうであろうか。様々なサイバー攻撃を未然・拡大防止する製品やソリューションは日進月歩で開発・実装・導入されている。こうした傾向は社会インフラ産業を担う企業では強く見受けられる。ただし、様々な構造的な要因により十分にそうしたサイバーリスクへの対応に十分な投資が行えない産業がある。いわゆる医療というインダストリー分野である。

病院、一般/歯科診療所、薬局、居宅系・施設系・地域密着型の介護組織等、様々に国内に存在する医療機関等では、基本的にシステムのセキュリティを確保する上で準拠すべき方針は厚生労働省「医療情報システムの安全管理に関するガイドライン」となる。

ただし、このガイドラインはあくまで、今まで紙で管理していた医療情報を電子的に取り扱う上で、法定保存文書としての要件を引き続き満たすための要件を整理したものである。医療等の士業者が患者への診療等の方針を決定するために用いるデータ、その結果を正確に記録したデータという、専門家としての患者への診療を決定・記録するための根拠データの信頼性をいかに確保するかに焦点が置かれている。

そのため、当今のサイバー攻撃ビジネス組織にいかに立ち向かうべきかという観点ではそもそも整理されていない。サイバー攻撃により診療行為の信頼性を担保するための根拠データをいかに保全するか、本来医師等の士業者のみのアクセスが許される患者の要配慮個人情報の束をいかに無関係な第三者から守るかについては本ガイドラインでも論じられているが、仮にランサムウェアに感染し、二重の脅迫(データ復旧、ウェブ暴露のための身代金の要求)が発生した場合、どういったアクションを取るべきかは各医療機関等が個別に考えなければならない。つまり、医療機関等はガイドラインをいかに厳密に遵守していようとも、サイバー攻撃の被害を受けるリスクがあるといえる。

直近でも国内でランサムウェアの被害を受けて業務の大幅な見直し・停止を行わざるを得なかった病院の事例が複数ある。海外では病院の電子カルテシステムがランサム被害を受けて救急患者を受け入れられず、その患者が別病院への搬送中に死亡するという痛ましい事件が起きている。こうしたリスクはすでに対岸の火事ではなくなっている。

一方、ウェブ上には、ランサムウェアに感染しないためにどうすればいいか、感染した場合どうしたらいいか等、様々な考察・見解、手引きやガイダンスが大量に公開されている。しかし、国内の医療機関等の産業特性に沿って、現場のシステム担当者が理解できる水準で何をすべきかを整理した資料はなかなか見つけづらい状況である。
医療とはそもそも規制産業であり、日本の医療機関等は日本独自の規制の枠のなかで、こうしたサイバーリスクという問題に向かい合いながら、経営管理をしなければならない。こうした特性を踏まえず、「海外ではこうなので、日本でもこうあるべき」という舶来主義的なコンセプト(海外の病院はサイバーセキュリティのIT投資も積極的等)やホラーストーリー(海外のサイバー大会でペースメーカのハッキングが成功したから日本でも発生するかも等)を出したところで、ありがたいご高説にしかならず、実際の現場担当者に響くことはないと思われる。

そのため、今期の「医療」分科会では、主に、国内の病院のうち、特にIT部門がない、総務がIT管理を兼務する等、専門的なITリソースが少ない病院(こうした病院が国内病院の多くを占める)に向けて、院内の医療情報システムをランサムウェアという流行のサイバー攻撃から守るためにどのようなことをチェックすべきか、また感染した場合どのようなアクションを行うべきかという論点を整理・提供したいと思っている。この取組は一般社団法人医療ISACと連携しながら行う予定である。

実際にITの専門リソースが少ない国内病院の、様々な業務の傍らでシステムの管理もしており、それほどITに詳しくない人たちに向けて、最低限ランサム被害を想定して事前に何をしておくべきなのか、及びランサム感染時にどういった観点でアクションを行うべきなのかを、チェックポイント形式で整理・公開することは、IDFの提言という観点でも、重要ではないかと考えている。

なお、足元では、ランサムウェアという直近のサイバーリスクにフォーカスしているが、今後は厚労省ガイドラインを補足するような目線ももって、現場のシステム担当者にとってクイックウィンになる示唆を「医療」分科会として提示していきたいと考えている。

【著作権は、江原氏に属します】