2022年9月15日(2016号) ピックアップニュース
税経部・特別研究会
他人事ではないサイバー攻撃 認識・対策のアップデートを
医療機関のリスク管理などに詳しい江原氏が医療機関に求められる対策を解説
税経部は、9月3日に特別研究会「医療機関を取り巻くサイバーリスクの現状と対策上のポイント」を協会会議室で開催し65人(会場12人、Zoom53人)が参加した。PwCあらた有限責任監査法人、一般社団法人医療ISAC理事の江原悠介氏が講師を務めた。
江原氏は、近年増加する、医療機関を狙ったサイバー攻撃について、診療情報などを使えなくし「身代金」を要求する攻撃が中心で、復旧まで無床診療所でも2週間ほど診療ができなくなる恐れがあると紹介。攻撃者はセキュリティ水準の低い組織を狙うため、病院のみならず無床診療所も対策が必要と訴えた。
電子カルテをインターネットに接続可能な端末から切り離している場合が多いが、サービス提供事業者(ベンダー)のリモートメンテナンス用機器の脆弱性を悪用するケースに注意すべきとし、サービス提供事業者に対し、リスクマネジメントのプロセスや対策をまとめて医療機関と共有することを定めた経産省・総務省のガイドラインに基づくセキュリティ対策を行うよう契約書に明記させることを推奨した。
事業者は契約書で取り決めのない対策には応じない場合が多く、医療機関側に「セキュリティ対策はベンダーがやってくれている」という思い込みがないか、どんな契約になっているのか、再度確認が必要とした。
最後に、ウイルス対策ソフトの導入やバックアップデータのオフライン管理、IDやパスワードの使いまわしをしないなど基本的な対策と合わせて、サイバー攻撃に対する認識をアップデートするようアドバイスし、自己診断リスト(下表)でリスクを点検し対応の検討を呼びかけた。
