オンライン診療のサイバーセキュリティと医療ISACの試みについて

  • このエントリーをはてなブックマークに追加
  • LINEで送る
               

2021年2月、⽇本遠隔医療学会スプリングカンファレンス(1)が開催されました。その中で「オンライン診療時代のサイバーセキュリティ医療 ISAC の試み ―令和 2 年度厚⽣労働⾏政推進調査事業―」というワークショップがあり、弊社のセキュリティ担当である坂本が演者として参加しました。

今回の記事では、このワークショップのトピックであったオンライン診療関連のサイバーセキュリティについてのお話と、医療業界におけるセキュリティの情報共有に関する動向をご紹介します。

オンライン診療関連で起こったサイバー攻撃事例

もし医療情報を保有するオンライン診療のシステムで、セキュリティインシデントが発生した場合の影響は甚大です。本稿執筆時点では、日本では、医療機関でのメールの誤送信による個人情報の漏洩の報告例(2)がある程度で、オンライン診療のサービスから医療情報が流出したという報告や事例は確認できておりませんが、海外では認証なしで誰でも医療情報を含むデータベースにアクセスできてしまっていたケース(3)、アプリケーションのリリースに伴ってユーザが他のユーザの医療情報にアクセスできるようになってしまっていたケース(4)などがあります。

今後、オンライン診療は、医療アクセスとしてのチャネルのひとつとして根付いていく可能性があり、特に、今時限的になっている規制緩和が、今後ガイドラインや診療報酬改定により恒久的な制度となった場合は診療所などでの活用がさらに進む可能性があります。一方で、オンライン診療システムの利活用が進むと、これまでよりもサイバー攻撃の標的になりやすくなることが懸念されますが、もしオンライン診療システムと医療情報システムや医療機器との連携が進む中でサイバー攻撃の被害に遭うと、電子カルテ等の医療情報の漏洩や最悪の場合人命に影響が出てくることも考えられます。実際に、2020年にはドイツで医療機関をターゲットとしたサイバー攻撃が発生し、それに起因するとされる死亡事例も報告されています。(5)

国内でもこのような事例が発生する可能性は否定できず、リスクの高まりに対し、特に現在のオンライン診療の主なユーザ層である診療所の多くは、セキュリティ専門家を院内に抱えることが難しく、リスクの高まりにあわせて自前でセキュリティ体制を院内に確保することは容易ではありません。

このため、例えばセキュリティ管理体制が整備されている医療機関が、他医療機関に積極的に脆弱性情報やそれぞれの院内で発生したセキュリティインシデントの情報を共有する仕組みを整備したり、技術的な専門性の高い事業者同士でも各サービスで発生しているインシデントや脆弱性情報を共有したり、医療機関(特に診療所)に対して、セキュリティ確保に有用なサービスを提供するといったことも重要になってきます。

このようにセキュリティのインシデントや脆弱性などの情報共有を業界が積極的に行うことで、業界全体への被害をできるだけ小さくするという取り組みを行っているのがISAC(Information Sharing and Analysis Center)です。ISACは、リスクを軽減し、回復力を高めるため、業界横断あるいは事業者横断で実行可能な脅威情報を収集・分析し、共有することを目的とする組織です。日本では、2002年発足に通信分野のTelecom-ISAC(現ICT-ISAC)が発足しており、次いで金融ISAC、電力ISAC、交通ISAC等が立ち上がって運用が始まっています。

医療業界におけるセキュリティの取り組み状況

医療業界では、残念ながらまだこのISACが明確に組織されている状態ではありませんが、2020年11月に行われた情報医療学会のISAC関連のテーマ(6)では、金融ISACについてt、今回の⽇本遠隔医療学会では電力ISACについてそれぞれ講演がありました。また、このISACに関連する動きとして、厚生労働省委託事業 令和2年度「医療分野におけるサイバーセキュリティ対策調査業務」の一貫で、医療機関におけるサイバーセキュリティ研修、医療機関同士の情報共有体制試行の案内が出ています(7)

この調査事業の背景には、平成27年及び平成30年に閣議決定された「サイバーセキュリティ戦略(8)」において、重要インフラに該当する医療分野では、厚生労働省と医療機関等が連携し、実効性のある情報セキュリティ対策を講じていくこと、また、ISACを含む情報共有における取組の推進を支援するとともに、新たな役割を果たしていくことが求められたことにあります。また、「サイバーセキュリティ 2019(9)」においても、厚生労働省は医療分野の ISAC 等の情報共有のあり方について引き続き検討することとされています。

こうした中で、医療従事者の情報セキュリティに関するリテラシー向上を図るための研修の提供と医療分野におけるサイバーセキュリティ対策に関する情報共有体制の構築に向けた検討がなされているという状況のようです。

医療機関におけるサイバーセキュリティ研修(10)については、形式はウェビナーやEラーニングの形式で、経営層、システム管理者(含むセキュリティ管理者)、医療従事者(医師、コメディカル、事務職員(システム部門以外))と対象が分かれています。本稿執筆時点で経営者向けの研修は終了し、システム管理者、医療従事者向けの研修も定員に達しているようですが、研修の資料については順次公開される予定とのことです。

情報共有体制試行(11)については、医療分野におけるサイバーセキュリティに関する情報共有の仕組みを検討する際のプロトタイプとすることを目的として、医療関係者の協力の下、掲示板などの情報共有ツールを用いた情報共有・相談体制の試行を行う、とあります。施行期間は 2021年1月中旬から3月末まで、情報共有サイトは一般社団法人 JPCERT コーディネーションセンターが提供する「SIGNAL」を利用するとされています。(尚、この「SIGNAL」は、既に金融ISACで利用実績があります。)

他業種のISACの取り組みの例として、金融ISACでは、日常のインシデント情報の共有のみならず、多くのワーキンググループを組織して、業界の関係者を巻き込んだ業界横断演習の運営を行ったり、インシデント対応マニュアルを整備したり、不正送金対策やFintechに関する対応など、様々な活動をしています。また、「金融分野におけるサイバーセキュリティ強化に向けた取組方針(109)」の中では、監督当局である金融庁が、金融機関による「自助」、金融庁などの公的な支援「公助」、金融機関同士の支援「共助」の重要性を明確にし、金融ISACを活用した情報共有を推奨するなど、監督省庁とISACがとても良い連携をしています。

医療業界でもこうした他業種のISACでの取り組みをベンチマークし、業界全体のセキュリティが強化されていくことが期待され、今後も医療業界のISACに関する動向を注視していく必要があります。

注釈

(1)JTTA スプリングカンファレンス 2021 プログラム

(2)メール誤送信のお詫びと再発防止策について

(3)MongoDB Vulnerability Leaked Health Care Data Of 2 Million Mexicans Online

(4)Babylon Health admits GP app suffered a data breach

(5)MIT Technology Review:サイバー攻撃で病院のシステムが停止、救急患者が死亡=ドイツ

(6)第40回医療情報学連合大会(第21回日本医療情報学会学術大会) 学術プログラム

(7)厚生労働省:令和2年度医療分野におけるサイバーセキュリティ対策調査事業 研修及び情報共有体制試行のご案内

(8)サイバーセキュリティ戦略(平成30年7月27日)

(9)サイバーセキュリティ2019(令和元年(2019年)5月23日)

(10)厚生労働省:令和 2 年度「医療分野におけるサイバーセキュリティ対策調査業務」医療機関におけるサイバーセキュリティ研修開催のご案内(令和3年1月8日)

(11)厚生労働省委託事業 令和 2 年度「医療分野におけるサイバーセキュリティ対策調査」:医療分野におけるサイバーセキュリティに関する情報共有・相談体制の試行へのご協力のお願い(令和3年1月14日)

SNSでもご購読できます。