『医療分野のセキュリティニュース総まとめ 2022』の記事を公開してから時間が経ち、年末年始に執筆を予定していたにもかかわらず、あっという間に5月になってしまいました。
今回は、2023年の1年間と2024年第一四半期において、日本国内の医療分野で発生したセキュリティインシデント事例を振り返り、その傾向を分析してご紹介します。2022年のランサムウェアやEmotetの感染が目立った傾向から、新たに台頭した脅威とそれに対する対策について解説します。医療業界で働く皆様には、本記事が組織のセキュリティ対策を見直すきっかけとなれば幸いです。
ランサムウェア感染
| 発生日 | 医療機関名 | 公式発表/報道 |
| 2023/01/06 | 社会福祉法人あじろぎ会 宇治病院 | 不正アクセスによる情報流出の可能性に関するお知らせとお詫び |
| 2023/11/13 | 中津市民病院 | 財務会計システムへの不正アクセスによる情報流出の可能性について |
| 2024/02/27 | 国分生協病院 | 「画像管理サーバー」の障害発生について |
ランサムウェア感染は、2022年は1年間で5件でしたが、2023年から2024年1Qにかけては3件と減少しました。また、各事例について、被害を受けた範囲がファイルサーバ等サーバ3台、財務会計システム、画像管理サーバーのみと限定されており、甚大な被害が出ることはありませんでした。
2022年から2023年にかけて、ランサムウェアをはじめとしたサイバーセキュリティ対策について、厚生労働省によって以下の取り組みが行われています。
- 注意喚起『医療機関等におけるサイバーセキュリティ対策の強化について』の発表(2022年10月)
- 医療機関向けセキュリティ教育支援ポータルサイト(2022年12月開設)を通じた、サイバーセキュリティ対策研修の実施や普及啓発
- 2023年4月の医療法施行規則の改正により、サイバーセキュリティの確保について必要な措置を講じることや、立入検査でもサイバーセキュリティ確保のための取組状況を確認することを追加。取組状況の確認に使用される、医療機関におけるサイバーセキュリティ対策チェックリストでは、2024年度までにすべてのチェック項目への準拠を要求。
このような厚生労働省が主導した取り組みを通じ、医療業界のセキュリティレベルが底上げされたことも、ランサムウェア感染が減少の一因となっているのではないかと考えられます。
警察庁の発表によると、世間一般の動向としては、ランサムウェア被害は2022年に比べると2023年は減少しているものの、引き続き高い水準で推移しています。また、ランサムウェアによる被害のほか、組織のネットワークに侵入し、データを暗号化することなくデータを窃取した上で、組織に対して対価を要求する「ノーウェアランサム」と呼ばれる手口による被害が広がっており、引き続きこの手を攻撃には警戒をする必要がありそうです。
サポート詐欺
| 発生日 | 医療機関名 | 公式発表/報道 |
| 2023/04/04 | 福岡徳洲会病院 | 病院PCに「警告」、職員が「サポート窓口」へ電話すると…患者情報流出か |
| 2023/08/26 | 厚生中央病院 | サポート詐欺で職員宅PCが遠隔操作 – 厚生中央病院 |
| 2023/10/24 | 三愛病院 | サポート詐欺でPC遠隔操作、内部に個人情報 – 三愛病院 |
| 2023/12/04 | 足立東部病院 | サポート詐欺被害、PCを遠隔操作される – 足立東部病院 |
2023年に入り被害が目立ったのはサポート詐欺です。2022年にはわずか1件だけの発生でしたが、2023年には4件に増加しています。サポート詐欺とは、インターネットの閲覧中に、偽のセキュリティ警告等を表示し、ユーザーの不安を煽り、画面に記載されたサポート窓口に電話をかけさせ、遠隔操作ソフトをダウンロード・インストールさせたり、サポートの名目で金銭を騙し取ろうとする攻撃手法です。
サポート詐欺は人間心理をうまく突いた攻撃手法であり、技術的な対策だけで完全に防ぐことが難しいため、従業者がサポート詐欺の手口について理解することがまず重要です。IPAや警察庁からサポート詐欺に関する情報が公開されており、組織内での周知に役立ちます。
さらに、偽のセキュリティ警告が表示された際、警告に書かれている連絡先ではなく、組織内の通報窓口へ気軽に相談・報告できる環境の整備が重要です。MICIN社内でも、サポート詐欺に繋がる偽のセキュリティ警告が表示される事案が数件発生しましたが、従業者が迅速に社内の通報窓口へ報告したことで適切な対応を行うことができ、実害の発生を防ぐことができました。
不正アクセス
| 公表日 | 医療機関名 | 公式発表/報道 |
| 2023/05/10 | 三重県立総合医療センター | ホームページへの不正アクセスによる書き込みについて |
| 2023/10/26 | 兵庫県立西宮病院 | 県立西宮病院の看護師懲戒免職 医師のIDを無断で使い処方箋 |
| 2024/02/02 | 北海道大学病院 | メールアカウントの不正使用によるフィッシングメールの送信について |
不正アクセスの対象はホームページ、電子カルテ、メールアカウントと様々であり、それぞれ性質も異なる事案ですが、定期的に発生しています。適切なアカウント管理の維持が重要です。
システム障害
| 発生日 | 医療機関名 | 原因 | 公式発表/報道 |
| 2023/07/26 | JCHO 金沢病院 | 新システムへの移行作業中の人的ミス | JCHO金沢病院、電子カルテシステムの障害で新規外来診療や救急診療を休診 |
| 2023/11/27 | 富士宮市立病院 | ネットワーク機器障害 | 富士宮市立病院でシステム障害、プリンターが使用できない状態で全科に影響 |
| 2023/12/01 | 広島大学病院 | ネットワーク機器故障 | 広島大学病院のシステム障害、原因は電子カルテシステムのネットワーク機器不具合 |
| 2024/01/31 | 岩手県立中央病院 | ネットワークループ | 県立中央病院でシステム障害 一時電子カルテが使用できず混乱 |
電子カルテシステムの障害により、診療に影響が出るケースが数件確認されました。原因は人的ミスか機器故障のどちらかというのが傾向のようです。
内部不正による情報漏洩
| 公表日 | 医療機関名 | 公式発表/報道 |
| 2023/02/02 | 近畿大学病院 | 近畿大学病院で発生した診療情報の流出事案について |
| 2023/02/28 | 国立病院機構京都医療センター | 京都医療センター医師 カルテ情報漏洩で書類送検 |
| 2023/03/29 | 社会医療法人財団 慈泉会 相澤病院 | 患者ら3137人の個人情報が流出 病院の元職員が不正持ち出しか |
| 2023/07/28 | 徳山中央病院 | 入院患者の情報漏えい、看護師を停職処分 徳山中央病院 |
| 2023/11/29 | 神奈川県立精神医療センター | 患者の通院、共通知人に口外 神奈川県立精神医療センター主任看護師を減給 |
| 2024/02/02 | 福山市民病院 | 病院職員が入札期間中に情報漏えい 停職6か月の懲戒処分 落札業者に設計書 「良好な関係続けたかった」 広島・福山 |
2023年は、サポート詐欺とともに、内部不正による情報漏洩事案が目立ちました。IPAが発表する情報セキュリティ10大脅威(組織編)でも、内部不正による情報漏洩が近年順位を上げており、2024年版では第3位にランクインしました。医療分野においても、内部不正の脅威が身近に存在するようです。
具体的な事案としては、診療情報を知人に口外するケースや、ビジネス上価値のある多数の個人情報や設計書を漏洩させるケースがありました。これらの事案は、個人情報の取扱いにおける従業者の意識の低さや、アクセス管理の不備が原因として考えられます。
内部不正の対策としては、
- 従業者へのセキュリティ教育を実施し、内部不正のリスクを認識させる
- 情報のアクセス制御の強化や、監視システムの導入
- USBメモリなどの情報機器の使用管理や物理的な保護
- 就業規則における懲戒規定の制定や、内部通報窓口の設置
など、複数の対策を実施することで、不正のトライアングルと呼ばれる「動機」「機会」「正当化」を最小化していくことが必要となります。IPAが公開している「組織における内部不正防止ガイドライン」には内部不正への対策が詳しく記載されています。
記憶媒体の紛失・盗難
2022年から引き続き、記憶媒体の紛失・盗難の件数は依然として多い状況が続いています。医療分野における記憶媒体の使用方法として、患者情報等の機微な情報を扱うことが多いことから、紛失・盗難時の影響が大きいため、他分野以上に厳格な対策を講じる必要性があります。情報機器の利用・持ち出しに関する規程の策定や台帳での管理といった組織的な対策に加え、インシデントの発生を前提として、データの暗号化やアクセスパスワードの設定などによる対策が求められます。
その他原因による情報漏洩/情報漏洩の可能性
| 公表日 | 医療機関名 | 原因 | 公式発表/報道 |
| 2023/01/16 | こうのす共生病院 | 音声配信 | 医師が診察をスマホアプリで生配信 1時間半以上気付かず 病院は謝罪、医師は依願退職 |
| 2023/02/15 | 大阪はびきの医療センター | メール誤送信 | 大阪はびきの医療センター、メール誤送信で採用予定者のアドレス41件流出 |
| 2023/06/08 | 東京都立多摩総合医療センター | 設定ミス | 臨床研修医受験者向け申込みフォームにおける個人情報の誤表示について (2023.6.8) |
| 2023/09/01 | 三重県立こころの医療センター | FAX送信データの取り違え | 入院患者の個人情報漏えい 三重県立こころの医療センター |
| 2023/09/19 | 日本大学医学部付属板橋病院 | 保存先の誤指定 | 当院における個人情報漏えいについて |
| 2023/09/28 | 日本大学病院 | メール誤送信 | 企業の健診結果を別企業へメールで誤送信 – 日大病院 |
| 2023/09/28 | 慶応義塾大学病院 | 管理者用URL誤公開 | 電話診療による処方箋発行申込フォームをご利用いただいた皆様へ 個人情報管理上の不備に関するお詫びとご報告 |
| 2023/11/06 | JCHO 相模野病院 | メール誤送信 | 1万2千名の健診情報を一部受診企業に誤送信、相模野病院 |
| 2023/12/27 | 鹿児島市立病院 | メール誤設定 | 「BccじゃなくToで送信されてる」…鹿児島市立病院が55人分のメルアド漏えい |
誤送信や設定ミスなどの人的ミスが原因として目立ちました。人的ミスを完全になくすことは難しいため、ミスが発生しやすい業務はシステマチックな仕組みに変更し人の判断を介在させないようにしたり、送信内容には個人情報などの重要情報を最低限に抑えることで、万が一漏洩が発生しても被害を最小限に抑えたりといった工夫が必要です。
まとめ
2023年はランサムウェア感染が一定の落ち着きを見せ、前年猛威を振るったEmotetも1件も発生せずに終息しました。2024年には厚生労働省による「医療機関におけるサイバーセキュリティ確保事業」が予定されており、約2000の病院に対して、外部ネットワークとの接続の安全性の検証・検査や、オフライン・バックアップ体制の整備が実施されます。このような直接的な支援が各病院に対して実施されることで、さらなる技術的なセキュリティレベルの底上げが期待されます。
一方で、2023年はサポート詐欺や内部不正といった、人間心理を狙った攻撃や人によって引き起こされる攻撃といった、「人」にまつわる事案が目立ちました。これらの事案から、技術的対策だけではなく、従業員の教育や、セキュリティポリシーの強化、物理的なセキュリティ対策の徹底など、「人」に関する包括的な対策の必要性も、昨今の傾向から見えてきているのではないでしょうか。
