《ここがポイント!》
- 医療機関のサイバーセキュリティ対策が重要かつ喫緊の課題となっているが、厚労省の調査によると、サイバー攻撃などによるシステム障害の発生に備えてBCPを策定している病院は有効回答全体の平均で27%にとどまっていた。
- 厚労省は医療機関の取り組みを後押しするため、「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表」、「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き」および「医療情報システム部門等における事業継続計画(BCP)のひな形」を作成してホームページで公表。
- サイバー攻撃に対し、リスク低減は重要ではあるが完全に排除することはできないため、「どのように防ぐか」だけではなく、発生した際に「どのように対応するか」という意識をもつことが重要であると強調。
~健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》~
医療機関のサイバーセキュリティ対策が重要かつ喫緊の課題となっているが、サイバー攻撃を想定した事業継続計画(BCP)を策定している病院は3割に満たない現状にある。厚生労働省は、BCP策定の確認表を公表するなどして対応を促している。
■BCPは500床以上病院でも4割
厚労省の調査によると、サイバー攻撃などによるシステム障害の発生に備えてBCPを策定している病院は有効回答全体の平均で27%にとどまっていた。調査は2024年2月1日-3月8日に8,171病院を対象に実施し、5,353病院から回答を得たもの。前年同時期の調査結果からは4ポイント上昇したものの、3割に満たなかった。策定済み病院の割合は病床数が多いほど高くなる傾向にあったが、攻撃の標的になりやすい500床以上の大規模病院でも44%と半数に満たない現状にあった。
また、BCPに定めた対処手順が適切に機能することを訓練などで確認しているのは策定済み病院の34%と、こちらも3割程度だった。この割合は前年同時期から横ばいで、病床規模別に見ると「100床以下」で上昇したのに対し、「200-400床未満」では低下していた。
■「どのように対応するか」の意識を
こうした現状を受け、厚労省は6月に入り、「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表」、「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き」および「医療情報システム部門等における事業継続計画(BCP)のひな形」を作成してホームページで公表。医療機関による取り組みを後押ししている。
サイバー攻撃に対しては、セキュリティ対策を講じてリスクを低減させることがもちろん重要になるが、リスクを完全に排除することはできない。そのため、厚労省は対策にあたり、攻撃を「どのように防ぐか」だけでなく、発生した際に「どのように対応するか」という意識を持つことの重要性を強調。非常時に診療への影響を最低限に抑えるための対応を、あらかじめBCPに定めておくことで、適切な復旧対応などが可能になるとしている。
医療機関においては、すでに公表されている「医療情報システムの安全管理に関するガイドライン第6.0版」や「医療機関等におけるサイバーセキュリティ対策チェックリスト」も併せて活用し、対策を強化していくことが求められる。なお、上記の確認表などは医療機関を対象にしているが、安全管理ガイドラインでは、病院や一般・歯科診療所のほか、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者など、対象を広く想定していることを理解しておく必要がある。
(資料公表日 2024-08-05/MC plus Daily)
(提供 / 日本経営)