医療機関等がサイバー攻撃を受けた場合、厚労省医療技術情報推進室へ連絡を―厚労省 (2018/11/6 メディ・ウォッチ)
医療機関等がコンピュータウイルスなどのサイバー攻撃を受け、個人情報漏えいや医療提供の弊害の恐れがある場合には、速やかに厚労省医政局研究開発振興課医療技術情報推進室に連絡してほしい。また自治体は被害内容や対応状況などを調べ、必要な指導や助言などを行ってほしい―。
厚生労働省は10月29日に通知「医療機関等におけるサイバーセキュリティ対策の強化について」を発出し、こうした点について注意を呼びかけました。
多くの医療機関で、電子カルテシステムや地域医療情報連携ネットワークなどの情報通信技術が活用されています。極めて有用な技術ですが、コンピュータウイルスなどに感染し、患者情報等が漏えいしてしまう危険、システムが稼働しないことに起因した医療提供の不具合が生じる危険にさらされていることも事実です。
このため「医療機関等におけるサイバーセキュリティ対策の充実」が喫緊の課題となっており、厚労省は自治体(都道府県、保健所設置市、特別区)と連携した対策をとる考えを明確化。自治体に対し、大きく次の4点を実施するよう求めています。
(1)「医療情報システムの安全管理に関するガイドライン」の周知徹底
(2)情報セキュリティインシデント発生時の国への報告
(3)情報セキュリティインシデントが発生した医療機関等に対する調査・指導
(4)医療分野におけるサイバーセキュリティの取り組み(医療セプター)との連携
まず(1)のガイドライン(2017年度に第5版)には、医療機関等がサイバー攻撃を受けた際の非常時の対応などが規定されています。自治体では、医療機関にガイドラインの周知を改めて行うとともに、医療機関等がサイバー攻撃を受け、個人情報漏えいや医療提供の弊害の恐れがある場合には、速やかに当該医療機関等から厚労省医政局研究開発振興課医療技術情報推進室に連絡するよう注意喚起することが求められます。
またこうした事案を自治体が把握した場合(マスコミ報道を含めて)には、当該自治体から厚労省医療技術情報推進室に速やかに報告する(上記(2))とともに、当該医療機関等に対して▼被害状況▼対応状況▼復旧状況▼再発防止策―などについて調査・指導を行い、その内容を厚労省医療技術情報推進室に報告する(上記(3))ことが求められます。この自治体による調査・指導の根拠法令としては「医療法第25条等の立入検査」等が考えられ、サイバーセキュリティに係る技術的事項について厚労省からの助言を受けることが可能です。
さらに、(4)の「医療セプター」とは、IT障害の未然防止、発生時の被害拡大防止・迅速な復旧、および再発防止のために、政府等の情報を適切に重要インフラ事業者等に提供・共有し、各重要インフラ事業者等のサービスの維持・復旧能力の向上に資することを目指す枠組みです。現在、日本医師会に事務局が置かれ、日本病院会や全日本病院協会などを構成員として、演習などを行っています。厚労省は、自治体に対し「医療セプター活用との連携・協力」についても要請を行っています。
- 関連記事
- サイバー犯罪と会社の責任
- 情報処理安全確保支援士制度とサイバーテロ
- 内部監査へのAI導入のリスク対応について
- 巧妙化するフィッシング詐欺を防ぐためには2段階認証やID管理で対策を
- 最新版 サイバー攻撃の現状とその対応