目次

• ランサムウェアとは
• 国内の病院におけるランサムウェアの被害事例
• 病院がランサムウェア対策を行う必要性
• ランサムウェアによって病院が損失する被害
• ランサムウェア被害を避けるためにも「医療情報システムの安全管理に関するガイドライン」に基づいた対策が必要
• 病院などの医療機関で求められるランサムウェア対策
• ランサムウェアによる感染を検知した場合の対処
• 「医療情報システムの安全管理に関するガイドライン」に沿ったサイバーセキュリティ対策はNECフィールディングにお任せください！
• おわりに

ランサムウェアとは

ランサムウェアとは、コンピュータに保存しているデータを人質に、身代金を要求する不正プログラムです。感染すると、データを暗号化して使用できない状態にした上で、データを復号する代わりに金銭を要求されます。
ランサムウェアに感染するとコンピュータは機能不全に陥ってしまうため、システム・業務において大きな被害を受けてしまいます。またそれにより長期間の業務停止を余儀なくされると、金銭的被害も甚大なものになってしまうでしょう。

なお、独立行政法人情報処理推進機構（IPA）が、2023年に発生した社会的影響の大きい情報セキュリティ事案についてまとめた「情報セキュリティ10大脅威 2024」では、ランサムウェアによる被害が1位に選出されています。
引用元：情報セキュリティ10大脅威 2024（独立行政法人 情報処理推進機構（IPA））　※外部サイトへ移動します

ランサムウェアの主な感染経路は、特定のWebサイトへのアクセスや、不審なメールの開封などが多くなっています。

ランサムウェアについては、以下の記事でも詳しく紹介しています。
ランサムウェアとは？感染した場合の影響や対策方法を解説

国内の病院におけるランサムウェアの被害事例

ランサムウェアによる被害は、大手企業や公的機関などでも発生しているため、ニュースなどの報道で耳にする機会も多いでしょう。さらに、近年は病院などの医療機関でも頻繁に被害が発生しています。
ここでは、国内の病院で発生したランサムウェア被害の事例を紹介します。

2024年5月　岡山県の医療機関の被害事例

岡山県の医療機関で、ランサムウェア感染の被害によって電子カルテを含む総合情報システムがダウンした事例です。調査の結果、総合情報システムに保有されていた最大約4万人分の患者情報が流出しましたが、個人情報が悪用された報告はなかったようです。同医療機関は機器の更新対応ができておらず、セキュリティ対策が不十分だったとコメントしています。

2021年10月　徳島県の病院の被害事例

この事例は、ランサムウェア「Lockbit 2.0」の攻撃によって被害を受けたケースです。電子カルテシステムがランサムウェアに感染し、電子カルテによる診療情報の閲覧ができなくなり、電子カルテの情報を参照していた会計システムも使用できなくなりました。侵入経路は、VPN装置の脆弱性を悪用して侵入したものと想定されます。
復旧までは実に2カ月の期間がかかり、その間は処方箋の記録や連携先病院での診療情報を基にデータを保管しながら診療にあたったとのことです。

2022年10月　大阪府の病院の被害事例

大阪府の大規模病院がランサムウェア感染の被害に遭い、電子カルテをはじめとする多くの院内データを取り扱えなくなってしまったケースです。
この事案での感染経路は給食委託事業者のVPN装置からであることが分かっています。
外来診療や各種検査の停止を招いてしまったほか、救急患者の受け入れを制限せざるを得ない事態にもなり、同様の被害事例と比較しても大きな損害となりました。こちらの事案でもシステムの復旧には長期間を要し、外来診療の全面再開まで実に2カ月がかかったとのことです。

病院がランサムウェア対策を行う必要性

ここでは、病院がランサムウェア対策を行うことの必要性・重要性について説明します。

医療機関におけるランサムウェア被害の急増

昨今、医療機関でのランサムウェア被害が急増しています。
医療機関や病院がランサムウェアに狙われる主な原因としては、以下が挙げられます。

医療情報システムの安全管理に関するガイドラインの改定

厚生労働省は、「医療情報システムの安全管理に関するガイドライン」を策定しています。このガイドラインは、医療情報システムの安全管理や、民間事業者などが行う書面の保存などにおける情報通信技術の利用に関する法律・通称「e-文書法」などへの適切な対応を行うために策定されました。
技術的および運用管理上の観点から対策が示されており、2005年（平成17年）3月に初版が策定。都度改訂が重ねられ、現在は2023年（令和5年）5月に策定された第6.0版が最新となっています。ガイドラインの内容のうち優先的に取り組むべき対応については、厚生労働省にて作成されたチェックリストによる適切な管理が必要です。医療法に基づく立ち入り検査の際に、チェックリストの確認が行われます。そのため病院は、ガイドラインに遵守して対応を行う必要があります。

医療情報システムの安全管理に関するガイドラインの詳細については、以下の記事も参照ください。
医療情報を取り扱う病院が行うべき医療情報安全ガイドラインに基づいた対策

ランサムウェアによって病院が損失する被害

事例の項目でも触れていますが、病院などの医療機関がランサムウェアの被害に遭うことで、具体的にどのような損害が出るのでしょうか。ここではランサムウェア被害によって予測される病院側の損害を説明します。

業務の停止

ランサムウェアによる攻撃を受けることで、院内のサーバ、ネットワークなどが使用不能となってしまいます。これにより、一部もしくはすべての業務を停止せざるを得ない状況になります。
業務が停止されることで、その停止期間によっては業績の大幅な低下にもつながってしまうでしょう。

社会的信用の低下

ランサムウェア攻撃による被害を受けた事実が明るみに出ることでも、病院は損害を受けてしまいます。被害があったと分かることで「適切なセキュリティ体制が整っていない」という印象を持たれ、患者さまからの信用低下を招いてしまう可能性があるためです。社会的信用が得られなくなれば、業績悪化にも直結してしまうでしょう。

経済的損失

ランサムウェア攻撃の被害によって生じる、経済的な損失も見過ごせません。具体的には、以下のような経済的損失をきたしてしまう可能性があります。

ランサムウェア被害を避けるためにも「医療情報システムの安全管理に関するガイドライン」に基づいた対策が必要

「医療情報システムの安全管理に関するガイドライン」は厚生労働省が発行している医療機関向けのガイドラインです。医療機関では個人情報の中でも厳重に保護が必要とされている電子カルテなどの取り扱いがあるため、ガイドラインで定められている対策は必須と言えます。

ガイドライン自体は昔からありますが、

に対応できるよう2023年5月に第6.0版に改定されました。

現在そしてこれからの医療機関に合わせて改訂された「医療情報システムの安全管理に関するガイドライン第6.0版」を遵守して、セキュリティインシデント発生のリスクを抑えましょう。

「医療情報システムの安全管理に関するガイドライン」の要件

サーバ、クライアント、ネットワークなどさまざまな領域に対して要件が定められており、次のような要件があります。

紹介した要件はほんの一部で多数の要件が定められています。

病院などの医療機関で求められるランサムウェア対策

病院などの医療機関がランサムウェアによる被害に遭ってしまうと、多大な損害や信用の失墜などを招くことが分かりました。病院はランサムウェア攻撃の標的とされやすくなっているという現状もあります。
この現状を踏まえ、どのような手段を用いてランサムウェア対策を図っていけばよいのでしょうか。

セキュリティ体制の強化

以下のような方法で院内システムのセキュリティを強化し、不正侵入に備えましょう。

感染対策マニュアルの作成

ランサムウェア感染やそれにともなうインシデント（事案）が発生した際に、迅速な対応ができるよう備えを徹底しておくことも必要です。感染対策と万一の際の対処方法を社内でマニュアル化し、予期せぬ事態にも最適な対処を実行できるようにしておきましょう。マニュアル作成に際しては、院内教育などによる周知徹底も必要です。

セキュリティ教育の実施

セキュリティ対策を徹底すると同時に、電子カルテなどのシステムを実際に取り扱う人のリテラシー向上にも努める必要があります。院内でのセキュリティ教育・研修を定期的に実施し、医師や看護師などのスタッフ全員がセキュリティ意識を持つことが重要です。

定期的なバックアップ

万一、ランサムウェア攻撃に遭って被害を受けた場合も、直近の最新データがバックアップされていれば、損害を最小限に抑えられる可能性があります。過去の被害事例には、バックアップがたまたま停止されていたために被害の拡大を余儀なくされたケースもありました。
バックアップ専用の端末を用意しておき、十二分な体制を敷いて都度データ保管を行えるようにしましょう。長期にわたる業務停止や、多大な経済的損失の防止になります。

外部の専門家による監視・検知

ICT担当者が常駐している病院や医療機関は、さほど多くはないでしょう。セキュリティ関連のICT系業務をすべて内製化することは難しいと想定できます。
そのようなときには、外部の専門家に相談・対策を実施することがおすすめです。

ランサムウェアによる感染を検知した場合の対処

万一、自院がランサムウェアの攻撃を受けてしまったとします。その場合には、迅速な対処によって被害を最小限にとどめるための取り組みも必要となるでしょう。
ここでは、病院がランサムウェアの被害を受けた場合、実際にどのような対処を行うべきかを紹介します。

サーバの遮断

ランサムウェアに感染すると、当該のコンピュータやシステム上に身代金を要求するメッセージなどが表示されます。しかし、慌てて身代金要求に応じるなどしないようにしましょう。まずは落ち着いて現状を確認し、感染が他の端末に広がらないようサーバやネットワークをオフラインにすることから始めてください。
サーバを遮断し、感染が疑われる機器を隔離して他の機器への感染拡大を防ぎます。

通報と専門機関への相談

状況の確認後、他の情報機器への影響を調査するため業務システムを停止します。ICT系業務を外部委託している場合は委託先の専門家へ相談しましょう。被害が発生している場合は、警察への通報も必要です。
委託先の事業者と協力して、原因調査・犯人の特定を図ります。

バックアップによる復元・復旧対応

バックアップから重要なファイルを復元し、復旧を目指します。
具体的な復旧手順や必要な対応を整理したうえで、医療情報システムや機器の復旧計画を進めていきましょう。

事後対応

復旧後も、再度同様もしくは類似の事態を招かないよう、事後対応を行う必要があります。必ず再発防止策や新たに追加するセキュリティ対策を検討し、日々の業務に落とし込むようにしましょう。また必要に応じて、対策の情報を公開することも検討してください。

「医療情報システムの安全管理に関するガイドライン」に沿ったサイバーセキュリティ対策はNECフィールディングにお任せください！

「医療情報システムの安全管理に関するガイドライン」はランサムウェア対策に役立ちますが、すべての要件を確認し、医療機関さまだけで優先順位を決め、導入を進めていくのは難しいです。

もしどう対応を進めていけばよいかお悩みであれば、NECフィールディングまでご相談ください。
ヒアリングの上、各医療機関さまに合わせたセキュリティ対策を提案します。

NECフィールディングのセキュリティ対策提案の強み

おわりに

近年は大規模組織を狙った事案にとどまらず、中小企業や病院・医療機関を狙った事例も増加しています。特に被害が増加しているランサムウェアから院内の情報を守るには、早期の備えと対策が必要です。セキュリティ対策や人材の確保などにお悩みの場合は、ぜひNECフィールディングまでご相談ください。

発行元：NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。