病院で発生した深刻なサイバー攻撃、当事者が被害と対策の全容を語る(1)

嶋津岳士 大阪急性期・総合医療センター 総長
岩瀬和裕 大阪急性期・総合医療センター 病院長
須藤泰史 つるぎ町立半田病院 病院事業管理者
中園雅彦 つるぎ町立半田病院 病院長

さまざまな組織でサイバー攻撃被害が発生している今、サイバー犯罪は増加と巧妙化の一途をたどり、日本社会にさまざまな混乱を引き起こしています。

その波は医療機関にも押し寄せ、2021年10月31日に徳島県のつるぎ町立半田病院、2022年10月31日には大阪急性期・総合医療センターがサイバー攻撃の被害に遭いました。共にランサムウェア(身代金要求型コンピュータウイルス)に感染し、電子カルテシステムが停止。救急診療や外来診療、予定手術などの診療機能に影響を被るなど、被害は甚大なものとなりました。両病院とも約2ヶ月の間、止む無く電子から紙のカルテに移行して診察を行い、復旧に至りました。しかしながら、現在も継続してセキュリティ対策を講じています。

サイバーインシデントの被害を受けた両病院の代表者に当時の状況を聞き、病院の経営者やサイバーセキュリティ担当者に向け、インシデント発生への対策意識の重要性について取り上げます。

聞き手:萩原健太(一般社団法人 ソフトウェア協会)

サイバーセキュリティ対策の重要性をどこまで理解できていたか。

――今回は、2つの医療機関で発生したインシデントを振り返り、再発を未然に防ぐための対策を伺えたらと思います。まずは、インシデント発生前のセキュリティ対策について、どのような意識をお持ちであったか、率直なご意見をお聞きできればと思います。

嶋津(大阪急性期・総合医療センター):私どもは、半田病院の事案を受けて2021年12月に行われた大阪府立病院機構本部からのアンケートなどに基づき、自己評価をして継続的に見直しを行っていました。しかし、いくつかの項目で「要注意」がありました。内容について医療情報部から共有してもらっていたのですが、具体的な意味を把握できていなかったと今では思っています。いわゆるサイバーセキュリティに対するリテラシーが十分ではありませんでした。

岩瀬(大阪急性期・総合医療センター):大阪府立病院機構本部から注意喚起が来たときに、我々も内部の会議でサイバーセキュリティに関する話はしていたのですが、自分たちのシステムやデータが外部に繋がっていることに対して、詳細は把握できていませんし、要注意項目のリスト作成もできていませんでした。

職員に対して医療情報部を通してデータのやり取りをする際に「USBのチェックを徹底してくださいね」と伝えるぐらいで、具体的にどの部署に何を言えば良いのかという発想がありませんでした。

嶋津氏(大阪急性期・総合医療センター)、岩瀬氏(大阪急性期・総合医療センター)

――つるぎ町立半田病院の状況はいかがでしたか?

須藤(つるぎ町立半田病院):私は自分のコンピュータにセキュリティ対策ソフトを入れる、電子カルテにUSBを安易に差し込んではいけない、という程度の認識しかありませんでした。システム担当者がUSBを差し込めないように全部の差込口に蓋をしていました。学会用のデータはウイルス対策ソフトを入れた電子カルテの端末を用意して、ウイルスチェックをして各自のUSBに発表に必要な情報を入れるという形式を取っています。

そのため、実態としてはウイルス対策ソフトも各端末に入っていませんでしたし、産婦人科の外来では、超音波装置で見える胎児の動いている動画を、患者さんが持参したUSBにデータを格納し、提供していました。本来は優しいサービスなのですが、電子カルテと繋がっているという認識を持っておくべきでした。我々がサイバー攻撃を受けたのは2021年10月でしたが、同年6月に厚生労働省からサイバーセキュリティに関する注意喚起が各都道府県や医療機関等に行っていて、それを全く知らなかったことについても反省しています。

中園(つるぎ町立半田病院):画像を取り出すときに当院のシステム担当者がUSBのチェックをしていましたが、人員数の問題もあって完全には管理しきれていませんでした。各端末はそれぞれ保守点検で外部と繋がっていますが、システム担当者も把握しきれておらず、管理が行えていなかった部分があったと思います。

――こういうことをしておけば良かったと思うことはありますか?

須藤:バックアップデータをいかに守るかを常に考えておくこと、そしてセキュリティ情報にアンテナを張っておけばよかったと思っています。ただ、我々ではサイバーセキュリティの専門知識はわからないことが多いので、通訳をしてくれる人が必要です。

それで今、厚生労働省の「医療機関におけるサイバーセキュリティ対策の更なる強化策」を活用して、医療機関が主体となってサイバーセキュリティについて考える有志が集まり、セキュリティ情報を流すグループ作りを我々が始めました。セキュリティ情報をキャッチする手段が必要で、各病院の担当者が対策していかないと危ないと分かるような内容で伝えないといけない。小さなクリニックなどは医師会、もしくは各都道府県や大学の医療情報部を窓口にするなど、緊密な連携が必要です。

中園:費用面も大きな課題となっていまして、端末を全て変えたり、新たなセキュリティ対策の導入を行ったりすると莫大な費用がかかるので、スムーズに最善策を導入することは、なかなか難しい部分もあります。

対談の様子(写真)

嶋津:厚生労働省のサイバーセキュリティ対策チェックリストでもIT関連の機械やデータをしっかり管理しなさいという項目があります。院内のコンピュータの状況については把握しているつもりでしたが、もっと詳しく知っておくべきでした。

嶋津氏(大阪急性期・総合医療センター)、岩瀬氏(大阪急性期・総合医療センター)

――これは医療に限らず、日本のサイバーセキュリティのガイドライン全体に言える傾向ではないかと思われます。

岩瀬:スクリーニングといいますか、専門家に入ってもらってチェックリストの読み方を教えてもらうなどしておけば良かったと思います。

須藤:自動車における車検のような制度があれば安心感があります。サイバーセキュリティに関しては、まだそこまでの認知度がないのと、すべての病院で担当者を常駐させることが難しい状況です。ですので車検のような公的な制度も求められるところです。

第2回の記事では、病院でインシデントが発生した時の状況についてお話しを伺います。

関連ページ