医療機関におけるサイバーセキュリティ対策に関する厚生労働省の取り組みについて
田中 彰子(厚生労働省 医政局 特定医薬品開発支援・医療情報担当参事官)
2023-3-29
背 景
医療機関では,医療情報システムを取り巻く環境の変化や医療情報システム・機器の高度化などに伴い,セキュリティの脆弱性への対応やインシデント発生時に対処するためのポリシーの策定,安全管理体制の整備やトレーニング・教育などに関する対策を早急に講じることが喫緊の課題となっている。また,近年は医療機関を標的としたサイバー攻撃により,一部の診療機能が停止することなどの事案が発生している。
医療分野の情報セキュリティ対策に関しては,2015(平成27)年9月4日閣議決定の「サイバーセキュリティ戦略」1)で「機能が停止又は低下した場合に多大なる影響を及ぼしかねないサービスは,重要インフラとして官民が一丸となり重点的に防護していく必要がある。その際,民間は全てを政府に依存するのではなく,政府も民間だけに任せるのではない,緊密な官民連携が求められる」とされ,重要インフラに該当する医療分野においても厚生労働省と医療機関などが連携し,実効性のある情報セキュリティ対策を講じていくことが求められている。2018(平成30)年3月には医療セプターが設置され,内閣サイバーセキュリティセンターや厚生労働省との連携の下,IT障害の未然防止,発生時の被害拡大防止・迅速な復旧および再発防止のため,政府などから提供される情報を適切に重要インフラ事業者などに提供して関係者間で共有するとともに,演習参加などの活動に取り組んでいる。また,2018(平成30)年7月27日に閣議決定された「サイバーセキュリティ戦略」2)では,従来の枠を超えた情報共有・連携体制の構築として,国はISAC(Information Sharing and Analysis Center:情報共有分析組織)を含む情報共有の取り組みの推進を支援することとされ,年次計画「サイバーセキュリティ2022」3)〔2022(令和4)年6月17日にサイバーセキュリティ戦略本部決定)では,医療分野のISACの試験的な運用開始が盛り込まれ,コアメンバーによる検討を進めている。
また,2022(令和4)年度の診療報酬改定において,許可病床400床以上の保険医療機関について,厚生労働省「医療情報システムの安全管理に関するガイドライン」に基づき,専任の医療情報システム安全管理責任者を配置すること,また,当該責任者は,職員を対象として,少なくとも年1回程度,定期的に必要な情報セキュリティに関する研修を行っていること,さらに,当該保険医療機関は,非常時に備えた医療情報システムのバックアップ体制を確保することが望ましいことを診療録管理体制加算に加えた。
近年,新型コロナウイルス感染症により,オンライン診療・遠隔医療などの活用,医療機器のIoT化への期待も高まる中,2023(令和5)年4月より,保険医療機関・薬局におけるオンライン資格確認等システムの導入の原則義務化が示されており,おおむねすべての医療機関などが外部ネットワークと接点を持つことになることから,医療機関の規模を問わず,わが国の医療分野におけるサイバーセキュリティ対策の充実・強化に資する取り組みを図っていくことは急務となっている。
医療情報システムの安全管理に関するガイドライン(第5.2版)改定
厚生労働省では,医療機関などにおける電子的な医療情報の取り扱いに関して,個人情報保護に資する情報システムの運用管理とe-文書法への適切な対応を行うため,技術的および運用管理上の観点から所要の対策を示した「医療情報システムの安全管理に関するガイドライン」を定めており,2022(令和4)年3月には第5.2版への改定を行っている4)。
本ガイドラインは,医療情報を扱うシステムと,それらシステムにかかわる人または組織を対象とし,電子的な医療情報を扱う際の責任のあり方,情報セキュリティマネジメントシステム(ISMS)の実践,組織的・物理的・技術的・人的安全対策,診療録などを電子化・外部保存する際の安全管理基準などを示している。第5.2版では,2省ガイドラインなどとの整合性,改正個人情報保護法への対応などの制度的な動向への対応,医療機関へのサイバー攻撃の多様化・巧妙化による技術的な動向への対応,電子署名・外部ネットワークの「規制改革実施計画」などへの対応について,追記・見直しを行っている。
また,本ガイドラインでは,最低限のガイドラインとして,コンピュータウイルスの感染などによるサイバー攻撃を受けた(疑い含む)場合や,サイバー攻撃により障害が発生し,個人情報の漏えいや医療提供体制に支障が生じる,またはその恐れがある事案であると判断された場合には,「医療機関等におけるサイバーセキュリティ対策の強化について」〔医政総発1029第1号,医政地発1029第3号,医政研発1029第1号:2018(平成30)年10月29日〕に基づき,厚生労働省医政局特定医薬品開発支援・医療情報担当参事官室への連絡などの必要な対応を行うほか,そのための体制を整備することとしている。厚生労働省は,障害などの判明(発生)日時,障害などが発生したシステムや障害などの内容,対処状況,影響範囲,個人データの漏えいの有無などを把握し,内閣サイバーセキュリティセンターなどと連携して事案に対応するほか,必要に応じて当該医療機関に対してサイバーセキュリティに係る技術的事項などについての助言や,マルウエアや不正アクセスに関する技術的な相談窓口の紹介などを行っている。また,個人情報の漏えい(疑いを含む)などが発生した場合は,当該医療機関などは上記の対応とともに,適用される個人情報保護法に基づき,速やかに個人情報保護委員会へ報告を行うといった対応を適切に行うことが義務づけられている。
医療機関におけるサイバーセキュリティ対策の厚生労働省の取り組み
厚生労働省では,2022(令和4)年9月に第12回 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループにおいて,予防対応・初動対応・復旧対応からなる「医療機関のサイバーセキュリティ対策の更なる強化策」を取りまとめた。
予防対応の具体的項目としては,(1) 医療従事者などの情報セキュリティに関するリテラシーのよりいっそうの向上を図るべく,医療従事者の階層(医療従事者・経営層・システムセキュリティ管理者)に応じた研修,(2) 脆弱性が指摘されている機器・ソフトウエアの確実なアップデートを医療機関への立入検査の実施などによる確認,(3) 医療分野におけるサイバーセキュリティに関するISACの構築,(4) 不正侵入検知・防止システム(IDS・IPS)などの検知機能の医療機関への設置・活用の推進,(5) G-MIS〔医療機関等情報支援システム。新型コロナウイルス感染症対策として,全国の医療機関の医療提供体制関連情報を迅速に収集するために,2020(令和2)年5月に構築・運用されている〕による医療機関に対するサイバーセキュリティ対策の実態調査を挙げている。
(1) に挙げた研修については医療従事者へのサイバーセキュリティ対策に関する研修の開始に伴い,医療機関向けセキュリティ教育支援ポータルサイト(MIST:Medical Information Security Training)を2022年12月から開設している。本ポータルサイトを通じ,各種研修の申し込みや,自組織内のサイバーセキュリティ教育に活用できるコンテンツ集の掲載など医療機関への継続的な教育支援を行っている(https://mhlw-training.saj.or.jp/
)。
次に,初動対応の項目として,(1) サイバーセキュリティインシデントが発生した医療機関への初動対応支援,(2) サイバーセキュリティインシデント発生時に厚生労働省等行政機関などへの報告の徹底を挙げた。2022(令和4)年10月31日に発生した大阪急性期・総合医療センターのサイバー攻撃事案に対しては,強化策の一つである初動対応支援として速やかに専門家を派遣し,感染原因の特定や対応の指示などを行った。さらに11月10日には,今回の大阪急性期・総合医療センターの事案を踏まえ,全国の医療機関に対してサイバーセキュリティ対策が適切に講じられているかについて注意喚起5)を行った。
最後に,復旧対応の項目として,(1) バックアップの具体的な作成が明記された「医療情報システムの安全管理に関するガイドライン」に基づいたバックアップの作成・管理の徹底,(2) 「令和4年医療情報セキュリティ研修及びサイバーセキュリティインシデント発生時初動対応支援・調査事業一式」において,サイバーセキュリティインシデントが発生した際の対応手順の調査を行い,適切な対応フローの整理,また整理した対応フローを基に,サイバーセキュリティインシデントに備えたBCP(Business Continuity Plan)の提案を行うことを挙げている。
引き続き,医療機関などの理解を得ながら予防対応・初動対応・復旧対応の強化を図ることで,医療分野のサイバーセキュリティ対策への取り組みが進み,政府の方針として示されている医療DXが推進するよう努めてまいりたい。
●参考文献
1)内閣サイバーセキュリティセンター : サイバーセキュリティ戦略(平成27年9月4日閣議決定). 2015.(2022年9月20日閲覧)
https://www.nisc.go.jp/pdf/policy/kihon-s/cs-senryaku.pdf
2)内閣サイバーセキュリティセンター : サイバーセキュリティ戦略(平成30年7月27日閣議決定). 2018.(2022年9月20日閲覧)
https://www.nisc.go.jp/pdf/policy/kihon-s/cs2018.pdf
3)内閣サイバーセキュリティセンター サイバーセキュリティ戦略本部 : サイバーセキュリティ2022. 2022.(2022年9月20日閲覧)
https://www.nisc.go.jp/pdf/policy/kihon-s/cs2022.pdf
4)厚生労働省 : 医療情報システムの安全管理に関するガイドライン 第5.2版. 2022.(2023年1月20日閲覧)
https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html
5)厚生労働省 : 医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日). 2022.(2023年1月20日閲覧)
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html
(たなか あきこ)
厚生労働省医政局特定医薬品開発支援・医療情報担当参事官。2001年東京女子医科大学医学部卒業。東京大学医学部附属病院麻酔科などを経て,2016年に厚生労働省に入省。同省健康局結核感染症課エイズ対策推進室長補佐,健康局難病対策課課長補佐,健康局総務課課長補佐,健康局難病対策課移植医療対策推進室長,医政局研究開発振興課医療情報技術推進室室長を経て現職。