医療機関・薬局のサイバーセキュリティ学べるWeb
こちらのコンテンツで学ぶことで医療機関・薬局に求められる情報セキュリティに対する教育訓練ができます。
サイバーセキュリティへの理解を深めてリスクに備えましょう!
eラーニング
医療機関が守るべき情報資産とは
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
情報資産を守るためにまずやるべきこと
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
医療情報を取り扱う上でのリスク
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
「チェックリスト」はリスク評価の第一歩
【医療機関等におけるサイバーセキュリティ対策チェックリスト】
▶動画内のチェックリストは令和6年度版です。使用の際は厚生労働省のページに掲載されている最新版をご確認ください。(https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html)
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
ガイドライン/チェックリスト策定の背景と医療機関がするべきことは?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
BCPってなあに?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
MDS?SDSってなあに?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
サイバーインシデント① ランサムウェア
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
サイバーインシデント② フィッシングメール
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
サイバーインシデント③ 不注意による情報漏えい
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
サイバーインシデント④ 内部不正
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
サイバーインシデントにより医療機関が受ける不利益は?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
サイバーインシデントにより患者様が受ける不利益は?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
サイバーインシデントにより医療機関が負担する金額はどれくらい?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
患者情報が漏えいすると何が起こるの?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
事故が起きたらまずやることは?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
事故の相談、報告先は?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
強固なパスワードとはどんなもの?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
閉鎖環境にある医療機関のネットワークにも危険が潜んでいる?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
ファームウェアアップデートとパッチ適用とは?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
医療機器のセキュリティはどうなっているの?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
リモートデスクトップに潜む危険、安全に使う方法はあるの?
※この動画は音声がミュートされています。音声を再生するには、 画面内のスピーカーアイコンをクリックしてください。
サイバーセキュリティに関してよく頂く質問と回答をご用意しました。
対策
どうしてサイバーセキュリティ対策が必要なのですか?
政府の進める医療DXによりオンライン資格確認の義務化や電子処方箋のスタート等医療機関おいて情報システムの利用が拡大する中、サイバー攻撃の脅威は増大、攻撃手法は高度化、巧妙化しています。
サイバー攻撃を受けた場合、医療の提供が停止することで、患者様の生命・身体に大きな影響を与えるだけでなく、行政処分、賠償責任、復旧費用等、医療機関の経営・運営に大きな影響を及ぼすことが想定されることから、サイバーセキュリティ対策は医療機関等にとって必要な措置といえるでしょう。
なお、扱う情報の重要性から医療機関のサイバーセキュリティ対策は一般の情報システムよりも高水準の対策が求められます。
サイバーセキュリティ対策を講じなければならない条文や規則はありますか?
下記条文において、医療機関、薬局は管理者がサイバーセキュリティの確保について必要な措置を講じなければならないとされています。
【病院、診療所又は助産所】
医療法施行規則(昭和 23 年厚生省令第50 号)第 14 条第2項
【薬局】
医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則(昭和 36 年厚生省令第1号)第11 条第2項
また、条文ではありませんが、医療機関の導入するシステムについてどのように管理や運用をしていくべきか、その指針・対策内容がまとめられた『医療情報システムの安全管理に関するガイドライン第6.0版』でも明示されています。
「医療情報システムの安全管理に関するガイドライン6.0版」とは何ですか?
厚生労働省が発出する、医療機関の導入するシステムについてどのように管理や運用をしていくべきか、その指針・対策内容がまとめられたものです。
初版は平成17年に策定されており、その後各種法改正やITの進展、サイバー攻撃に関する情勢を受けて何度も改定が行われてきました。
【参考URL】医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)(厚生労働省)
(https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html)
医療機関におけるサイバーセキュリティ対策チェックリストとは何ですか?
医療機関及び薬局が優先的に取り組むべきサイバーセキュリティ対策事項をまとめたものです。
【参考URL】医療機関等におけるサイバーセキュリティ対策チェックリスト(厚生労働省)
(https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html)
医療機関におけるサイバーセキュリティ対策チェックリストはどこにありますか?
厚生労働省のサイトをご確認ください。
【参考URL】医療機関等におけるサイバーセキュリティ対策チェックリスト(厚生労働省)
(https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html)
医療機関におけるサーバーセキュリティ対策チェックリストはいつまでに対応すべきですか?
医療機関におけるサイバーセキュリティ対策チェックリストに記載の期限内に実施してください。
令和6年度版のサイバーセキュリティ対策チェックリスト内には 『令和6年度中にすべての項目で「はい」にマルが付くよう取り組んでください。』と明示されています。
医療機関におけるサーバーセキュリティ対策チェックリストを作成しないとどうなりますか?
現時点では明確な罰則などが明記されているものはありませんが、保健所による立ち入り検査時にはサイバーセキュリティ対策チェックリストのチェックがあります。
サイバーセキュリティ対策はシステムのことなので、ベンダーの責任ではないのですか?
医療機関には医療情報の管理責任があります。
医療情報を取り扱うシステムのセキュリティ対策を把握する必要があります。
医療情報システムの安全管理に関するガイドライン第6.0版によれば
「医療情報システムの安全管理を行うためには、医療機関等内において、医療情報システムの運営や利用に対する統制が行われていることが求められる。」と記載されております。
業務で利用している携帯端末もサイバーセキュリティ対策の対象になりますか?
携帯端末で医療情報を確認・閲覧する場合は対象となります。
リスクがあったら必ず対策をしなければなりませんか?
リスクがあった場合対策をするのがベストですが、最も避けたいのは、リスクの存在を知らないまま問題が起きてしまうことです。そうならないように、リスク対策の優先順位を決定し適切に対処することが必要です。
システムやサイバーセキュリティに詳しくないため、システムベンダーに任せていますが問題はありますか?
より良い医療を提供するために、診療に集中し、システム構築やサイバーセキュリティ対策の部分を外部に委託する経営判断はよくあることで、それ自体が問題になることはありません。しかしながら、任せているからと言って、ヒトゴトにしてしまうことには注意が必要です。万が一、サイバーセキュリティ被害に遭ってしまった場合、医療情報取り扱いに関する責任、医療情報システムを適切に管理する責任、患者様や世間に対しての説明責任等が医療機関には発生します。、医療機関になります。そのため、医療機関として、どのようなリスクを抱えているか、外部に委託している内容と責任範囲はどうなっているか全体像を認識し、そこに潜むリスクを把握しておくようにすることが重要です。
出典:『医療情報システムの安全管理に関するガイドライン 第 6.0 版 経営管理編』(厚生労働省)(PDF)
(https://www.mhlw.go.jp/content/10808000/001102573.pdf)を参考にして作成
リスク
ランサムウェアとは何ですか?
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
ランサムウェアは、従来のコンピュータウイルスのように破壊活動・秘密情報の収集を行うだけでなく、以下の特徴をもっています。
①データを暗号化し、利用できないようにし、復号化するために身代金を要求
▶データを勝手に暗号化、復元できないようにして、業務を妨害・身代金を要求されます。身代金を支払ったからといってデータを復元してくれる補償はないため、この被害に遭うと、医療機関としての事業運用の継続が難しくなる恐れがあるため、バックアップをしっかり取っておくことが重要です。
②データのインターネットへの公開を示唆した脅迫と金銭の要求
▶秘密データの公開についても脅迫の材料に使い、金銭を要求する場合もあり、被害が増大しています。
また、実際にデータが公開された事例もあります。公開されてしまった場合、患者さん等への賠償が発生する可能性もあるため、サイバーリスク保険など検討するのも良いかもしれません。
インターネットに接続していなければ、サイバーセキュリティ被害に遭うことはありませんか?
インターネットに接続していなくても、サイバーセキュリティ被害に遭わないというわけではありません。
インターネットに接続していないということは、WindowsなどのOSやウイルス対策のセキュリティパッチを最新の情報に更新することもできないため、システム自体の防御力に課題が発生します。そのため、例えばUSBメモリなどの外部媒体による感染については対策できません。
また、そのシステム自体はインターネットに接続していなくても、同一ネットワーク上の他のシステム経由で感染や情報流出するリスクがあります。
一般
セキュリティパッチとは何ですか?
セキュリティ上の脆弱性・機能的不適合等を解消するためのプログラムです。単に「パッチ」ともいいます。
アクセスログとは何ですか?
アクセスログとは、その医療情報システムにいつ、どのIPアドレスから、誰がログインし、どのような入力や修正、削除などの操作を行ったのかを記録として残す機能のことです。
電子カルテシステムであれば、電子カルテの三原則の一つである「真正性」を担保する上でも必須機能となりますが、それ以外の医療情報システムにおいても、不正アクセスや攻撃、なりすましや改ざんの防止などを対策行う上で必要な機能です。
BCPとは何ですか?
事業継続計画(Business Continuity Planning)のことを指し、事業継続が困難な状況に陥った際に、どのように事業を継続させるかを定めたものです。事業継続が困難な状況とは、災害や紛争など地域を巻き込んだ大規模なものから、 システムのサーバーエラーやサイバー攻撃の被害など、医療機関単体の問題まであらゆる状況を想定します。
特に医療機関は、患者様がいる限り、医療を提供することが求められるため、事業継続が困難な状況を想定したマニュアルの整備や教育、訓練などを行うと良いでしょう。
ゼロトラストとは何ですか?
ゼロトラストとは、特定の技術や製品、ソリューションを指す言葉ではなく、「企業のネットワークやデバイスからのアクセスを暗黙に信頼せず、常にアクセスの信頼性を検証することで企業の情報資産や IT資産を保護すること」に焦点をあてたセキュリティの考え方です。
出典:『ゼロトラストの現状調査と事例分析に関する調査報告書』(PwC あらた有限責任監査法人)(PDF)
(https://www.fsa.go.jp/common/about/research/20210630/zerotrust.pdf)を参考にして作成
個人情報とは何ですか?
個人情報の中には、個人情報と要配慮個人情報があります。
個人情報とは氏名・生年月日その他の記述等により、特定の個人を識別できる情報です。
要配慮個人情報とは本人に対する不当な差別・偏見その他の不利益が生じないように、取扱いについて特に配慮を要する情報で、医療情報の中では病歴を含む情報(レセプト等に記載された情報)、健康診断の結果を含む情報及び健康診断後の措置がこれにあたります。
出典:「要配慮個人情報」とはどのようなものを指しますか。また「要配慮個人情報」にかかる留意点は何でしょうか。(個人情報保護委員会)
(https://www.ppc.go.jp/all_faq_index/faq4-q011/)
医療情報とは何ですか?
医療情報とは要配慮個人情報の中に含まれるもので、 ①診療記録 ②手術記録 ③処方箋 ④看護記録 ⑤紹介状 ⑥調剤記録 などが該当します。
MDS/SDSとは何のことでしょうか?どのように入手すれば良いですか?
「製造業者/サービス事業者による医療情報セキュリティ開示書」のことです。
医療情報システムのセキュリティに関するリスク評価およびリスク管理を実施するにあたっては、事業者が作成する医療情報セキュリティ開示(MDS/SDS)を確認することが有効です。
事業者が作成するものなので、入手は各事業者へ依頼してください。
※一般的に、医療機関が購入するタイプのオンプレミス型のシステムの場合MDSを、サービスに対して利用料を支払うタイプのクラウド型のシステムの場合SDSが用意されています。
BYODとは何ですか?
BYODはBring Your Own Deviceの略で、従業員が個人的に所有しているスマートフォン、PC、タブレットなどの端末を業務で利用することを指します。
スマートフォンの普及や働き方改革といった背景により徐々に普及を見せている考え方ですが、端末の紛失や盗難、ウイルス感染、患者と従業員のプライバシーの混同など様々なリスクが存在するとも言われています。
BYODを導入する場合は、システム運用担当者は、医療機関等が管理する以外の情報機器を、医療情報システムにおいて利用するのに必要な措置(例えば運用管理規程にて、仕様ルールや利用範囲をしっかり定めたり、従業員への定期的な教育を実施するなど)を講じ、そのための手順等を策定したうえで、企画管理者に報告することが求められます。
出典:医療情報システムの安全管理に関するガイドライン第 6.0 版システム運用編(厚生労働省)(PDF)
(https://www.mhlw.go.jp/content/10808000/001112044.pdf)
ファームウェアとは何ですか?
ハードウェアの基本的な制御を行うために機器に組み込まれたソフトウェアです。
パソコンやサーバ、ルーターなどの周辺機器、家電製品等に搭載されており、機器に内蔵された ROM やフラッシュメモリに記憶されています。
例)エアコン:空調の制御/冷蔵庫:温度調整や食品状態の管理の制御
