ランサムウェアによるサイバー攻撃のリスクが急増するなか、その脅威は今や国内の医療機関にも及んでいる。実際に日本国内でもランサムウェアにより医療情報システムが利用不可となり、患者診療の継続性に影響を与える事案が報告されている。
法令上、病院は個人データの漏洩、滅失、毀損を防止するための必要かつ適切な安全管理措置を講じる義務を負っている。さらに、電子カルテなどは、法的な保存期限を定められた法定保存文書であり、この文書が暗号化され復旧不可となることは、その病院にとって医師法・医療法等の各種法令違反となるおそれがある。ランサムウェアによる被害は、病院において様々な不利益をもたらすといえる。
このような状況のもと、21年10月に厚生労働省「医療情報システムの安全管理に関するガイドライン(5.1版)」(以下、厚労省安全管理GL)の別添資料として、「医療機関のサイバーセキュリティ対策チェックリスト」・「医療情報システム等の障害発生時の対応フローチャート」が公開されている。この資料は、サイバー攻撃全般を想定した対応策を定義し、有用性の高いものである一方、当今の医療機関が直面するランサムウェアという固有事例への対応を検討する上でのポイントについて、より深く補足されることが望ましいと考えられる。
こうした背景のもと、「医療」分科会のワーキンググループでは、一般社団法人医療ISACとの連携のもと、セキュリティ面の経済的・人的リソースが十分でない状況下でランサムウェア対策を検討しようとする医療機関を想定読者として、ランサムウェア対応上の重要な検討ポイントを整理の上、本ガイダンスにて取りまとめた。具体的には、厚労省安全管理GL別添資料の内容を踏まえた観点より、ランサムウェアへの対応を検討する際に、どのような陥りやすいリスク(落とし穴)があり、それを回避するため、どのような検討を最低限行うべきなのかについてまとめている。
本ガイダンスは単独でも医療機関においてランサムウェア対応を検討するための資料として構成しているが、あくまで厚労省安全管理GLの別添資料を補足するものという位置付けになる。そのため、厚労省安全管理GL別添資料もあわせて確認のうえ、本ガイダンスを利活用することが推奨される。
最後に、本ガイダンスの制定に尽力いただいた「医療」分科会のワーキンググループ参加者、及び一般社団法人医療ISACのご支援に感謝を申し上げる。
