あっという間に2022年も12月。大変久しぶりの記事更新になってしまいましたが、みなさまこの1年はどのような1年だったでしょうか?今回の記事は、 MICIN Advent Calendar 2022 (MICIN社企画、※後述)の22日目の記事として、MICIN 情報セキュリティ部 高橋さんによる記事をDigital Health Timesに掲載いたします。
2021年は診療業務の継続に影響したつるぎ町半田病院のインシデントが発生したことで、医療分野においてはサイバーセキュリティの重要性を再認識した年だったかと思います。そんな半田病院の通常診療再開のニュースから始まった2022年ではありますが、引き続き医療分野でのインシデントは発生し続けています。今年も残すところあとわずかということで、医療分野のセキュリティに関するニュースについて振り返り、事例と傾向をご紹介します。
ランサムウェア感染
今年は分野を問わず、1年を通じてランサムウェア感染に関するインシデントが続きました。
| 発生日 | 医療機関名 | 公式発表/報道 |
| 1/12 | 春日井リハビリテーション病院 | 不正アクセス(疑い)によるシステム障害発生のお知らせ |
| 4/23 | 医療法人ラポール会 青山病院 | 大阪 藤井寺の病院に身代金要求型サイバー攻撃か カルテ使えず |
| 6/19 | 医療法人 久仁会 鳴門山上病院 | 徳島・鳴門の病院にサイバー攻撃 電子カルテにアクセスできず |
| 10/27 | 医療法人社団 真養会 田沢医院 | 沼津市内の医療機関にサイバー攻撃 電子カルテシステムに障害 |
| 10/31 | 大阪急性期・総合医療センター | 大阪の病院で電子カルテシステムに障害、「ランサムウェア」によるサイバー攻撃か |
医療分野の動きとして、3月に『医療情報システムの安全管理に関するガイドライン』の第5.2版への改訂が行われ、ランサムウエアに関して、被害がバックアップデータまで拡大しないよう病院のネットワークから切り離し、独立して保管することが求められました。また、訓練の実施や、一定規模以上の病院では情報セキュリティに関する責任者を設置することが求められました。
ガイドライン改訂以後もランサムウェアの感染事例は続き、10月には大阪急性期・総合医療センターの事案が発生。公表はされていませんが、同時期に東京都内の大学病院でのランサムウェア被害も報道されています。これらの件を受け、厚生労働省から『医療機関等におけるサイバーセキュリティ対策の強化について』の注意喚起が発表され、サプライチェーンリスク全体の確認などが求められました。
Emotet感染
2019年に日本国内で感染が急速に拡大したマルウェア『Emotet』が、今年2月以降活動を再開して猛威を振るい、多くの医療機関にもその影響が及びました。
| 公表日 | 医療機関名/組織名 | 公式発表 |
| 2/9 | 社会医療法人 大雄会 | 当会パソコンへのウイルス感染に伴う不審メール発生に関するお詫びとお知らせ |
| 3/3 | 那須南病院 | 那須南病院におけるコンピューターウイルス感染と関係者への不審メール発生に関するお詫びとお知らせ |
| 3/7 | 医療法人 健昌会 | ウイルス感染に伴う不審メール発生に関するお詫び |
| 3/16 | 公益財団法人 佐々木研究所附属 杏雲堂病院 | 当院の職員を装った「なりすましメール」に関するお詫びとお知らせ |
| 3/28 | 東京都済生会向島病院 | 当院職員を装った不審メールに関するお詫びとお願い |
| 5/20 | 日本赤十字社 秋田赤十字病院 | 当院職員を装った不審メールについて |
複数の医療機関で感染が公表され、厚生労働省からは3月8日に『マルウェア「Emotet」の感染拡大について』の注意喚起が発表され、医療機関から職員一人一人に対する対策の周知が求められました。Emotetは7月に活動を一旦休止しましたが、11月に活動を再開しており、再度警戒する必要があります。
ウイルス感染
ウイルスの種別は公表されていないものの、電子カルテや会計システムの使用ができなくなり、事業継続に関わるインシデントとなりました。
| 発生日 | 医療機関名 | 報道 |
| 1/14 | 日本歯科大学附属病院 | 日本歯科大学附属病院 システムがウイルスに感染 診察に影響も |
不正アクセス
不正アクセスもいくつか報告されています。
| 発生日 | 医療機関名/組織名 | 公式発表 |
| 2/24 | 名古屋大学医学部附属病院 | 名古屋大学への不正アクセスによる個人情報流出について |
| 4/1 | 公益社団法人岡山県医師会 | 不正アクセスによるメールアドレスの流出について |
| 7/4 | 医療法人社団 幸紀会 安江病院 | 不正アクセスによる個人情報等流出の可能性に関するお知らせとお詫び |
| 12/3 | 医療法人社団博友会 金沢西病院 | コンピューターの不正アクセスによる障害発生について |
名古屋大学医学部附属病院の事案は総当たり攻撃が原因であるため、多要素認証の利用などの認証強化の対策が求められます。
また、岡山県医師会の事案はサーバの脆弱性が原因であるため、パッチの適用などの脆弱性解消の対策といった基本的な対策が求められます。
一方、安江病院と金沢西病院は不正アクセスの原因は公表されていませんが、患者情報データベースや電子カルテの使用ができなくなったインシデントとなっています。
システム障害
システム障害は可用性の観点でセキュリティの侵害に繋がります。
| 発生日 | 医療機関名 | 報道 |
| 3/9 | 神戸市立医療センター中央市民病院 | 神戸・中央市民病院でシステム障害 受け付けなど事務作業に大幅な遅れ |
| 5/23 | 岐阜県恵那市の医療機関6カ所 | 庁内のサーバーが不具合 医療機関6カ所のシステムに影響、診察料を請求できず 恵那市 |
| 6/10 | 市立敦賀病院 | 市立敦賀病院で電子カルテシステム障害、救急受け入れ一時停止 原因は誤接続 |
神戸市立医療センター中央市民病院の事案は原因不明、岐阜県恵那市の事案はメモリリーク、市立敦賀病院の事案はネットワークの誤接続と、原因は様々で傾向は見られませんでした。
情報漏えい/情報漏えいの可能性
情報漏洩も複数報告されました。
| 公表日 | 医療機関名 | 原因 | 公式発表/報道 |
| 3/25 | 国立がん研究センター東病院 | サポート詐欺 | 個人情報(臨床研究情報)の流出の可能性に関するおわび |
| 3/22 | 昭和大学歯科病院 | 物品紛失(カメラ) | 個人情報を保存したカメラの紛失に関するお詫びとご報告 |
| 5/9 | 医療法人社団 医仁会 ふくやま病院 | 設定不備 | 患者様情報流出の可能性に関するお知らせとお詫び |
| 5/30 | 日本赤十字社 姫路赤十字病院 | 業務ミス | 姫路赤十字病院が患者情報漏えい 入院の104人分 |
| 6/30 | 杏林大学医学部付属病院 | 物品紛失(USBメモリ) | 個人情報を含むUSBメモリーの紛失について |
| 7/22 | 徳島県立海部病院 | 内部不正 | 電子カルテの病名や病状「興味本位で見てしまった」…病院職員がSNSで漏らす |
| 8/22 | 島根県立中央病院 | 物品紛失(PC) | 個人情報が保存されている電子カルテ用端末の紛失について |
| 10/18 | 量子科学技術研究開発機構 QST病院 | 物品紛失(USBメモリ) | QST病院内における個人情報を含むUSBメモリの亡失について |
| 10/26 | 熊本大学病院 | 書類の誤廃棄 | 熊大病院 582人分の患者の名前や手術記録など情報漏えい |
| 11/11 | 東海大学医学部付属病院 | 物品紛失(SDカード) | 個人情報を含む SD カードの紛失について |
件数としては、物品の紛失による情報漏えいが目立ちました。USBメモリやSDカードなど情報機器の取扱いについては人による運用が発生するため、紛失が発生しがちです。情報機器の利用・持ち出しに関する規程の策定や台帳での管理といった組織的な対策に加え、インシデントの発生を前提として、データの暗号化やアクセスパスワードの設定などによる対策が求められます。
医療関連事業者におけるインシデント
医療機関におけるインシデントだけでなく、医療関連事業者におけるインシデントも複数件発生しました。
| 公表日 | 事業者名Webサイト名 | 事象 | 報道 |
| 3/28 | 株式会社アドメディカDoctors Me | 設定ミスによる画像データの誤公開 | 「Doctors Me」健康相談者の画像データ 誰でもみられる状態に |
| 5/23 | 株式会社クイック看護roo! | パスワードリスト攻撃による不正アクセス | 弊社運営の看護師および看護学生向けコミュニティサイト「看護 roo!」への“なりすまし”による不正アクセスについて |
| 6/24 | 株式会社日経BP日経メディカルOnline | 不正アクセスおよび一部会員の登録情報の書き換え | 日経メディカル Online への不正アクセスについて |
| 8/15 | 厚生労働省 | 研究者向けに提供したデータの個人情報の削除漏れによる個人情報漏えい | 指定難病患者データの研究利用のための第三者提供における個人情報の流出及びその対応について |
| 9/20 | 一般社団法人ライフデータイニシアティブ、株式会社NTTデータ | プログラム不具合による患者本人への通知が完了していない医療情報の取得 | 次世代医療基盤法に基づく認定事業における不適切な情報の取得に関して |
看護roo!と日経メディカルOnlineの事案はどちらもアカウントの不正ログインであり、パスワードの使い回しをしないことなどが利用者側の対策として挙げられます。
厚生労働省、NTTデータの事案は、個人データを取得または加工する際に生じた不備によって発生したインシデントです。我々を含め医療情報を取り扱う事業者は、先例から学んで同じような事案が発生しないかリスク評価する必要があると考えます。
MICINのセキュリティに関する情報収集の取り組み
今年報告されたサイバーセキュリティ関連事例をここまでご紹介してきましたが、最後にMICINの社内ではどのようにセキュリティに関する情報を収集をし、社内に共有しているのか、その取り組みについてご紹介します。主にTwitterを情報源として活用し、セキュリティに関する主要なニュースサイトや有識者のツイートを社内のチャットツールに転送し、リアルタイムでモニタリングを実施しています。
チャットツールでのモニタリングに加え、医療分野については情報の網羅性を高めるため、下記検索ワードの検索結果をすべて目を通すようにしています。
(url:http OR url:https) (病院 OR 薬局 OR 医療 OR オンライン診療 OR ヘルスケア OR ヘルステック) (セキュリティ OR マルウェア OR ランサムウェア OR 不正アクセス OR サイバー攻撃 OR 漏洩 OR 漏えい) (-株 -銘柄 -脱毛)
収集した情報はドキュメントにまとめ、週次で開催されている情報セキュリティ部の勉強会の中で共有を行い、担当者レベルでの情報共有を実施しています。また、経営陣が認識しておくべき医療分野の重大なセキュリティニュースについては、月次で開催されている情報セキュリティ委員会の中で共有を行い、全社レベルでの情報共有を実施しています。
まとめ
2022年はまずランサムウェアとEmotetの感染が目立った1年と言えるでしょう。また、物品紛失による情報漏えいや不正アクセス、システム障害なども少なからず見られました。このような状況下において、厚生労働省の主導により、医療分野のサイバーセキュリティの共助組織である医療版ISAC(Information Sharing and Analysis Center)が令和4年度内に設立される動きがあります。同じようなインシデントを発生させないように、もしくは発生しても影響を低減させるためには、先人の失敗や共有される情報から学び、各事象に対するリスクの低減措置と、対処手順の整備が必要となるでしょう。来年は少しでもインシデントの発生数が少なくなることを願って、結びとさせていただきます。(MICIN 情報セキュリティ部 高橋)
※ MICIN Advent Calender 2022って?
今回の記事は、MICIN Advent Calendar 2022の1記事としてご紹介しました。アドベントカレンダーとはご存知のとおりクリスマスまでの期間に日数を数えるために使用されるカレンダーですが、近年ではこの風習にならい、定められたテーマに従って持ち回りでブログやサイトに記事を投稿するという企画が増えており、今年はMICINもアドベントカレンダー企画を実施中です。
前回21日目の記事は、オンライン医療事業部 佐々木さんからの「curon お薬サポート」のフロントエンドを1から見直そうとしているという話でした。MICIN社のエンジニアチーム陣を中心に毎日記事を繋いでおりますので、ご興味ある方はぜひ他の記事もご覧ください。
みなさま、良いクリスマスを!
