DOCWEB『院長が悩んだら聴くラジオ』この番組は開業医の皆さんが毎日機嫌よく過ごすための秘訣を語っていく番組です。 通勤時間や昼休みにゆるっとお聞きいただけると嬉しいです。
オープニングトーク
(高山)おはようございます。パーソナリティのDOC WEB編集長、高山豊明です。
(大西)おはようございます。パーソナリティのMICTコンサルティング、大西大輔です。
(高山) 院長が悩んだら聞くラジオ第20回始まりました。大西さん今回もよろしくお願いします。
(大西)はい、よろしくお願いします。 今日のテーマは何ですか?
今日のテーマ:他人事ではないサイバー攻撃
(高山)今日のテーマは、クリニックにも危機迫る、他人事ではないサイバー攻撃です。
(大西)サイバー攻撃と聞くと、病院が狙われているとか、最近だとKADOKAWAのN高が狙われた、といった事件を思い浮かべますね。こういった事件は頻繁に起きている印象です。実は、病院だから、KADOKAWAだから狙われたというわけではなく、規模や業種に関わらず、どこにでも起こりうる問題なのです。
病院とクリニックの対応の違い
(高山)病院とクリニックでは、サイバー攻撃への対応にどのような違いがあるのでしょうか?
(大西)病院には、厚生労働省の指示により、200床以上の規模であればサイバーセキュリティ担当者が設置されています。
しかし、200床未満のクリニックや中小病院には、担当者の設置が義務付けられていません。つまり、病院ではIT担当者が対応する一方、クリニックでは院長が対応することになるのです。
これは大きな違いです。何か起きた際に、病院であればIT担当者がスムーズに対応できる一方、クリニックでは院長が対応に追われることで、業務が完全に停止してしまう可能性があります。
サイバー攻撃発生時の対応
(高山)サイバー攻撃が発生した場合、具体的にどのような対応が必要となるのでしょうか?
(大西)例えば、クラウド型の電子カルテを使用している場合、サーバーがダウンするとシステムが全く使えなくなってしまいます。
電子カルテメーカーのホームページを確認し、サーバーの復旧を待つしかありません。クラウドサービスの場合、ベンダー側のサーバーが攻撃対象となるため、クリニック側では復旧を待つ以外にできることはありません。
また、サイバー攻撃だけでなく、一時的なトラフィック増加などによってもサーバーがダウンする可能性があります。
AmazonのAWSのような大規模サーバーセンターがダウンした場合、そこに紐づいているクラウドサービスは全て停止してしまいます。
先日起きたクラウドストライク社のウイルスソフトのトラブルでは、サイバーセキュリティの問題により、全世界の飛行機が止まる事態に発展しました。
実際に巻き込まれた方の話では、空港で1日待機した後に、ようやく飛行機に乗ることができたそうです。
これは、クリニックでサイバー攻撃によって電子カルテが使えなくなり、1日診察ができなくなることと同じです。
大手航空会社でもこのような事態が発生している以上、小さなクリニックであれば、業務が完全に麻痺してしまう可能性があります。
クラウド型電子カルテの課題
(高山)クラウド型の電子カルテが使えなくなった場合、紙のカルテに切り替えることは難しいのでしょうか?
(大西)過去の診療履歴や薬の情報がクラウド上にしかないため、紙カルテへの切り替えは現実的ではありません。
お薬手帳があれば多少の情報は分かりますが、それだけでは十分な診察を行うことはできません。
すべての患者さんを初診として扱うしかありませんが、そうなると患者さんを捌ききれず、人数制限をする必要が出てきます。緊急で休診にするという判断をする方が、結果的にスムーズかもしれません。
サイバー攻撃の経路
(高山)サイバー攻撃は、どのような経路で発生するのでしょうか?
(大西)クラウドサービスへの攻撃だけでなく、電子カルテシステムに接続されている他のシステムを経由してウイルスが侵入するケースもあります。
また、電子カルテがオンプレミス型だったとしても、リモートアクセス用の回線から侵入されるケースも報告されています。
完全にネットから遮断された環境であれば、サイバー攻撃のリスクは低くなりますが、現代社会において、ネットを使わないことは現実的ではありません。
ハイブリッド型システムの落とし穴
(高山)クラウドとオンプレミスを併用するハイブリッド型のシステムであれば安全なのでしょうか?
(大西)ハイブリッド型システムは、ネットが止まったらオンプレミスに切り替えることで、業務継続が可能に思えます。
しかし、サーバーにトラブルが発生している場合、すでにオンプレミスのサーバーにもウイルスが侵入している可能性があります。
そうなると、クラウドとオンプレミスの両方が停止してしまう可能性があります。つまり、オンプレミスだから、クラウドだから、ハイブリッドだから安全だとは言い切れないのです。
厚労省が推奨する対策
(高山)厚生労働省は、どのような対策を推奨しているのでしょうか?
(大西)厚労省は、主に3つの対策を推奨しています。
1つ目は、担当者を置くこと。
2つ目は、BCP(事業継続計画)を作成すること。
3つ目は、定期的にセキュリティアップデートを行うこと。
しかし、クリニックでBCPを作成しているところは少なく、他のクリニックのBCPをそのまま流用しているケースが多いのが現状です。
また、セキュリティアップデートに関しても、OSのアップデートが必要な場合、自動アップデートをオフにしているクリニックもあるようです。
自動アップデートによってソフトが動かなくなったり、OSの脆弱性を突かれて攻撃されるケースもあるためです。
ゼロトラストの考え方
(高山)他に有効な対策はありますか?
(大西)ゼロトラストの考え方が重要です。
「誰も信じちゃいけない」という発想に基づき、ネットサーフィンをしない、電子カルテは電子カルテ専用のパソコンで使う、外部の機器を接続しない、知識のない人はパソコンを触らない、といった対策を徹底する必要があります。
どんなにセキュリティ対策をしても、USBメモリ経由でウイルスを持ち込まれたり、人為的なミスで感染してしまう可能性はゼロではありません。
先日も、あるクリニックの先生が「電子カルテが乗っ取られた」と連絡をくださったのですが、実際には電子カルテではなく、パソコンがウイルス感染していたというケースがありました。
そのパソコンはウイルスによって完全に制御され、勝手にメールが送られたり、データが削除されるといった被害が発生しました。そのため、すぐにそのパソコンを外し、廃棄またはリカバリをするよう指示しました。
電子カルテを使用するパソコンでネットサーフィンをしていたことが原因でした。
クラウド型の電子カルテであっても、ネットサーフィンは危険です。多くのメーカーがネットサーフィンを禁止していますが、先生方はなかなか言うことを聞いてくれません。
そのため、強制的にネット接続をできないようにしているメーカーもあります。しかし、中にはそれを解除して繋いでしまうメーカーもあるのが現状です。
タブを切り替えてFacebookやLINE、メールなどをチェックしている間に、ウイルスに感染してしまう危険性があります。
ウイルスは院内感染を引き起こし、クリニック内のすべてのパソコンに感染する可能性があります。
クラウド側はシャットアウト機能があるため感染しにくいですが、絶対に安全だとは言えません。
(高山)いずれにしても、クリニック内のパソコン端末が使えなくなってしまうため、電子カルテも使えず、診察ができなくなってしまいます。
(大西)電子カルテが使えないと診察ができないため、その日の診療は終了せざるを得ません。病院では、復旧に2ヶ月かかったケースもあるそうです。
クリニックであればもう少し早く復旧できるかもしれませんが、バックアップをしっかり取っておくことが重要です。自動バックアップを設定していても、
ウイルスがバックアップデータを消してしまう可能性もあるため、注意が必要です。
復旧しようとしてもできず、業務が停止してしまうケースも考えられます。
(高山)クリニックであっても、ネットサーフィンやメール用の端末と電子カルテ用の端末は分けた方が良いでしょう。
教育の重要性
(大西)結局、教育が一番大切だと感じています。クリニックのスタッフに対して、セキュリティに関する教育は行っているでしょうか?どのような教育をすればいいのか、次回以降で考えていきたいと思います。
(高山)そうですね。続きは次回にしましょう。今回もありがとうございました。
(大西)ありがとうございました。
(高山)院長が悩んだら聞くラジオ 今回もお聞きいただきましてありがとうございました。この番組への感想は「#院長が悩んだら聴くラジオ」でXなどに投稿いただけると嬉しいです。番組のフォローもぜひお願いします。この番組は毎週月曜日の朝5時に配信予定です。それではまたポッドキャストでお会いしましょう。さようなら。
