医療機関（病院・クリニック）のサイバーセキュリティ

更新日：2023/3/16

社会的背景

医療機関において、サイバー攻撃や情報漏えいのリスクが顕在化していることに対応するため、厚生労働省は「医療情報システムの安全管理に関するガイドライン　第5.2版」(*1)を改訂し、医療機関が情報セキュリティを遵守することを義務化しました。特に、ICTを駆使したサービスが普及したことにより、情報漏えいのリスクが上昇しており、これが大きな課題となっています。

医療機関における情報漏洩の主な原因

医療従事者が起こしやすい個人情報漏えい事故の原因に関する分析(*2)では、以下の１，２が大半でした。しかし、近年は機密情報を狙ったサイバーテロが高度化し、多発するようになってきています。具体的には、徳島県の病院において診療業務がほぼ感染前までに戻るまでに約2か月かかった事故が発生したことが記憶に新しいかもしれません(*3)。
１：紛失・盗難
２：運用規定違反（不適切な持ち出し）
３：外部からの不正アクセス

DXの必要性

働き方の多様化を実現する為に

現代において、クリニックで働く医師やスタッフの多様化が進んでおり、共働きや子育てをする方も増えています。このような方々にも働き続けてもらうために、電子カルテやコンピューターシステムの導入による省力化・効率化が求められています。今後はより統括的なシステムを導入し、多様化する働き方に対応した職場環境を整えていくことが必要です。

システムの利便性とセキュリティの関係

システムを利用するメンバーがサイバーセキュリティに対する知識や意識が低い場合、サイバーセキュリティ上のチェックが必要になり、業務での利便性が損なわれてしまいます。よって、セキュリティを確保しながら、システムの利便性を高めることが求められます。

クリニックのサイバーセキュリティ対策

以下に、クリニックがサイバーセキュリティを強化するために取り組むべき対策について説明します。

１：ネットワークのセキュリティを強化する

医療機関では、医療機器やパソコンなどがネットワークに接続されており、患者情報や医療記録などの機密情報がやりとりされています。ネットワークのセキュリティを強化することで、不正アクセスやデータ漏洩などのリスクを軽減することができます。以下の対策が有効です。

ファイアウォールの導入
VPN（Virtual Private Network）の利用
アンチウイルスソフトの導入
セキュリティパッチの適用
不正アクセス対策の導入（二段階認証など）

２：スタッフの教育と訓練

スタッフがサイバーセキュリティのリスクやセキュリティ対策の重要性を理解し、適切な行動をとることができるようにする必要があります。具体的な取り組みとしては、以下が挙げられます。

セキュリティポリシーの策定と普及
患者情報の持ち出し時のルール制定（持ち出し管理表、管理者の承認制）
定期的なセキュリティトレーニングの実施
パスワード管理の徹底（スタッフ任せにせず、長いパスワードの有効性など、アドバイスを行う）
不正アクセスやフィッシング詐欺などの手口についての教育
スタッフの利用しているPCのウイルス対策ソフトやOSなど、最新の状態に保つ
メールの使い方に注意（添付ファイルを開かない、怪しいメールは開かないなど）
パソコンの廃棄は信頼のできる業者に任せる（もしくは物理的に破壊する）

３：データのバックアップをする

医療機関では、患者情報や医療記録などの大切なデータをバックアップすることが大切です。バックアップをすることで、もしもの場合にデータを復元できるようになります。これによって、医療機関が長期間にわたって機能しなくなるなどのリスクを軽減することができます。バックアップは、外部のハードディスクやクラウドストレージに保存することがおすすめです。
————————————————————————————————————————————————————————
セキュリティに対する意識や知識レベルをアップする為には、
【初心者向け】わかりやすいサイバーセキュリティの基本→をご覧ください。
————————————————————————————————————————————————————————