ニュース

深刻化する医療機関のランサムウェア被害、現状と対策をPwC Japanグループが解説

患者の健康への影響も生じうる現状に必要な対策とは

PwCコンサルティング ヘルスケア・医薬ライフサイエンス産業事業部 シニアマネージャーの平川伸之氏

 PwC Japanグループは、医療現場におけるサイバーセキュリティの最新状況について説明。2021年以降、日本の医療機関に対するサイバー攻撃が増加していることを指摘する一方、医療機関ではサイバー攻撃への対策が遅れている現状に警鐘を鳴らした。

 PwCコンサルティング合同会社の平川伸之氏(ヘルスケア・医薬ライフサイエンス産業事業部 シニアマネージャー)は、「政府、医療機関、ベンダーが協力して、サイバー攻撃対策を推し進め、診療へのアクセスを確保し、医療情報を守らなければならない」と述べた。

患者の健康への影響を否定できない被害事例も発生

 同社によると、医療機関を含めたヘルスケア業界におけるランサムウェア検出台数は、世界規模で見ても増加傾向にあり、2021年には公共、銀行に次いで、3番目にヘルスケアが多かったという。「医療機関は、ほかの業界に比べて、バックアップを取っているところが少なく、身代金の支払いに応じる可能性が高いと見られていること、社会保障番号や病歴、患者記録など、販売や恐喝などに悪用されうるデータを多く有していることが、サイバー攻撃の増加の背景にある」と指摘する。

 日本でも医療機関に対するサイバー攻撃が増加。その結果、電子カルテシステムや画像情報システムが停止し、医療業務が行えない状況が発生し、新患や救急の受け入れ制限による地域医療への深刻な影響や、既往症や服薬歴が不明になることでの医療事故リスクの増大、病院経営にとっても膨大な経済損失が発生するといった影響が生じている。

 ここでは、2022年10月31日に、ランサムウェアによる感染被害を受けた大阪急性期・総合医療センターの事例にも触れられた。

 同病院では、サイバー攻撃を受け、電子カルテや薬の処方を含む病院経営に必要不可欠な基幹システムがダウン。予定していた手術のキャンセルや新規患者の方の受付中止など大規模な被害が生じた。原因は、給食委託業者のデータセンターを経由した侵入である可能性が高いとされる。システムの完全復旧は、2023年1月になる見通しであり、それまでは紙のカルテで運用することになるという。

大阪急性期・総合医療センターの被害事例概要

 電子カルテシステムや医事会計システムが停止したため、大規模な医療サービスの停止および遅延が発生し、転院を余儀なくされた患者がいるなど、患者の健康への影響が否定できない被害が発生しており、さらに、医業収益へのインパクトも大きいといえる。

サイバー攻撃による診療への影響。患者の健康への影響が否定できないほか、医業収益へのインパクトも大きいと推察している
サイバー攻撃発生の原因。給食委託業者のデータセンターを経由して侵入された可能性が高いと見られている

病院内だけでなく、サプライチェーン全体のセキュリティ管理が必要

 「これまでは医療機関に直接攻撃を仕掛ける例が多かったが、今回は、外部の給食委託業者のデータセンターを経由して、病院に侵入したという点が異なる。また、大規模病院でもセキュリティの欠点があり、そこからサイバーが発生することが示された。システムベンダーが関係しない部分から侵入されており、ベンダーに任せておけば安心という考え方は通用せず、病院側がガバナンスを効かせることが必要である。関係事業者を含めてサプライチェーン全体でセキュリティ管理体制を確認しておく必要がある。この事例は、セキュリティに対して、考え方を変える大きな潮目になった」と、平川氏は指摘した。

サイバー攻撃により見えた課題。大規模病院でもサーバー攻撃が発生し、サプライチェーン全体のセキュリティ体制の確認が必要である、などの認識の変化があったとしている
2021年以降に発生した、ほかの病院でのランサムウェアによるサイバー攻撃被害事例

厚労省がサイバー攻撃対策強化の指針を示す

 日本では、厚生労働省が、医療機関へのサイバー攻撃対策強化に向けた指針を示している。

 2022年3月には、医療情報システムの安全管理に関するガイドラインを改訂。ランサムウェアの攻撃に備えるため、バックアップの実施と適切な保存、管理を行うこととし、攻撃を受けた場合には当該システムのネットワークからの切り離しや隔離、業務システムの停止などを規定している。

 また、医療法第25条第1項にもとづく立ち入り検査に関しては、サイバーセキュリティに関する項目を追加。復旧手順の検討やBCP策定、サイバー攻撃を想定した訓練なども、立ち入り検査項目に設定している。さらに、診療報酬の改訂でも、400床以上の保険医療機関では医療情報システム安全管理責任者の配置および院内研修の実施を要件に追加している。

医療機関のサイバー攻撃に対する政府の最新動向

 また、大阪急性期・総合医療センターの事例をもとに、追加での注意喚起も実施。ネットワークで接続されている関係事業者のセキュリティ管理体制など、サプライチェーンリスク全体を確認することを求めている。

厚生労働省より11月に行われた注意喚起

 平川氏は、「政府のワーキンググループでは、医療機関におけるサイバーセキュリティ対策のさらなる強化策について議論をしており、新たな取り組みとして、医療分野におけるサイバーセキュリティに関する情報共有体制であるISACの構築がある。また、2022年度中には医療情報システムの安全管理に関するガイドラインの次期改訂が行われることになる」と説明した。

今後計画されている対策。短期的な予防・書道・復旧に関する項目が挙げられているほか、中長期的な対策が今後検討事項とされている
2023年4月からの保険機関・薬局におけるオンライン視覚確認導入の原則義務化を踏まえたガイドライン改定が検討されている

医療機関のサイバー攻撃対策に遅れ、原因は人・金の不足

 だが、こうした政府などの取り組みに対して、医療機関のサイバー攻撃への対策は遅れが目立つという。

 厚生労働省の調査によると、サイバー攻撃に対処するための定期訓練を行っていない医療機関は72%に達し、同時被災を回避可能な方法でバックアップをしていないとの回答は53%、リモートゲートウェイ装置をアップデートしていないとの回答は39%に達しており、「サイバー対策がほとんどできていないのが実態である」と訴えた。

医療機関におけるサイバー攻撃対策の現状。半数近くの医療機関は対策ができていない

 別の調査では、サイバー攻撃に対応できている病院は500床以上では57%に達するが、日本の病院全体では39%に留まる。また、私立大学法人や公益法人の病院は5割以上で対応ができているとしたものの、個人病院や社会福祉法人、医療法人などではセキュリティ対策が後手に回っていることが浮き彫りになっている。

特に、病床規模が小さい医療機関において遅れが見られるとしている

 2022年10月に独立行政法人福祉医療機構が実施した調査では、データの定期的なバックアップをしているとの回答は79.6%に達していた。しかし、PwCコンサルティングが行ったヒアリングの結果では、バックアップは取得できているが、攻撃を受けない安全な場所に保管ができていない病院が多いのが実態だという。

 また、同調査では、サイバー攻撃を想定したBCP策定を行っている病院が8.7%にとどまっており、「東日本大震災以降、自然災害に対するBCP策定は行っているが、サイバー攻撃を想定した取り組みは、厚労省からのガイドラインで示されていても進んでいないのが実態だ」と述べた。

病院内におけるサイバーセキュリティ対策の取り組みの現状。実施していると答えた病院の中でも、完全なかたちで実施している病院は少数と見ている

 このように、病院におけるサイバー攻撃への対策が進んでいない理由について、平川氏は、人的および金銭的リソースの不足、および、システムのベンダーとの契約の問題を指摘する。

 「年間のセキュリティ予算が500万円未満の病院が51%を占め、これではウイルスチェックソフトの更新しかできないのが実態である。病院にとって、ITシステムに対する費用は収益を生まないコストという認識が強く、医業収益を生む診療や検査に対する投資が優先されている。経営者のITシステムへの理解不足も背景にある。とくに中小規模の病院では、収支状況がよくないため、本来実施すべきセキュリティ強化への予算付与が難しい状況にある。さらに、電子カルテベンダーや部門システムベンダーに保守作業を依頼しているため、その範囲内でセキュリティ対策を実施し、業者任せになっている。しかも、ベンダー側では、セキュリティ対策は保守契約範囲外と認識しており、保守契約範囲の取り決めがあいまいなまま、お見合い状態となり、結果として、対策が取れていないこともある」

セキュリティ予算が年間500万円未満の病院が51%を占める

 さらに、「いまや病院ネットワークは、さまざまなかたちで外部接続の口が存在しており、クローズドな状態ではないにも関わらず、病院はクローズドネットワークで運用され、安全であるという間違った考え方が浸透していることも問題である」とも指摘。セキュリティパッチを適用すると、一定時間にわたり、システム停止が発生して診療に影響を与えてしまうことや、適用によってシステムの挙動が変わり、副次的な障害が発生する可能性を恐れて、病院やベンダーが、パッチ適用に消極的な面があるとする。

 加えて「クローズドネットワーク信仰による安全神話もあり、パッチ適用の重要度を低く見ている面もある。導入してから3年間、一度もパッチを当てていないという例もあるほどだ。世間の非常識が常識になっている」と、厳しく指摘した。

 病院におけるIT人材の不足についても課題だ。

 「700床以上の大学病院クラスでは、病院の医療情報全体をガバナンスする医療情報部などが存在し、情報システム管理業務や診療情報管理業務を分担し、高いスキルを持った人材が質・量ともに存在しているが、200床未満の小規模病院では、医事課などの事務部門が兼業でITシステムの運用、保守を行っているため、ITスキルが低く、ベンダー任せの状況になっており、セキュリティに時間と投資を行うことが難しい」と、平川氏は述べた。

病院におけるIT人材・人員不足の課題

「国は支援を、ベンダーとの関係の見直しを」PwC提言

 米国などの医療機関では、経営規模が大きいことや、収入が確保できることから、ITシステムへの投資規模が大きく、セキュリティ対策にも積極的であり、ITシステムを病院運営のインフラとして重要視する傾向が強いという。「日本の病院は、ITインフラに対するセンシティビティが足りない部分がある。病院のトップが医療者であることが多く、診療は重視するが、ITセキュリティに対する優先度が低くなり、対策が遅れることにつながっている」と指摘した。

 こうした日本の病院の状況を捉えて、PwCコンサルティングでは、「病院がまず取り組むべきことは、ウイルスの侵入経路を把握し、自組織のシステム環境とセキュリティ対策を改めて見直すこと、バックアップを確実に取得し、オフラインで保存し、復旧テストを平時から行っておくこと、BCPを策定し、代替業務手段とシステム復旧方法を検討しておくことである」と述べた。

ウイルス侵入経路の把握、バックアップ取得状況の確認、代替業務手段とシステム復旧方法の検討、の3点に取り組むべきと指摘

 そして、「政府や厚生労働省は、補助金交付や診療報酬加算の新設など、IT基盤の強化やセキュリティ対策を実施するための支援を行うべきである。医療情報は国民の情報であり、それを守る一端は政府にある。また、病院はベンダー依存から脱却し、サイバーセキュリティ対策を自ら進めていく責任がある。そして、システムベンダーや委託業者は、医療情報という公共性の高い情報を取り扱っていることの重要さを認識し、医療機関に対して密な情報提供や連携を行い、セキュリティリスクが発見された場合は速やかに医療機関にアラートを上げるべきである。これまでの被害事例では、ベンダー側がランサムウェアに関する最新情報を察知しても、それを伝えきれていない状況があった。ベンダーには、病院に情報を伝えると、コストをかけずに対策をやってほしいという要望が発生し、『寝た子を起こすな』と考える悪い癖がある。そこから脱却する必要がある」と提言した。

政府、医療機関、システムベンダーの各者に向けたPwCの提言

 滋賀県のある病院では、ITベンダー出身者を医療情報システムの担当者として採用し、セキュリティリスクに対する強い認識を持って対策を行っている例があるという。専門知識を持ち、セキュリティの重要性を理解した人材が、病院の経営層にも意見を言える体制構築が望まれる。

 ちなみに、PwCの世界CEO意識調査によると、サイバー攻撃は2020年には経営の脅威として4位だったが、2022年には1位となっているという。「背景にあるのは、サイバー攻撃による経営へのインパクトが大きいという点である。海外では1社あたり数10億円~数100億円規模の損失が発生しており、世界全体の損失は年間100兆円を超えるという試算もある」とし、「日本でも、2019年以降、ランサムウェアの検出台数が増加しており、復旧にかかる期間は半数が1カ月以上。また、復旧にかかる費用は半分以上が1000万円以上となっている」とした。

PwCコンサルティング ヘルスケア・医薬ライフサイエンス産業事業部 上席執行役員 パートナーの堀井俊介氏

 なお、PwC コンサルティングでは、日本国内に130人のヘルスケア専門コンサルタントを配置。グローバルでは9000人体制としている。PwCコンサルティングの堀井俊介氏(ヘルスケア・医薬ライフサイエンス産業事業部 上席執行役員 パートナー)によると、同社は「医師や看護師、薬剤師などの医療従事者としての経験を持つ人材も擁しており、製薬、医療機関、医療機器、自治体、医療業界への参入企業(New Entrants)を対象に、専門チームにより、サービスを提供。ホワイトペーパーや書籍、ウェブなどを通じて情報発信も行っている」という。