人口8千人弱...四国のほぼ真ん中、
徳島県の北西部にある自然豊かな静かな町「つるぎ町」
この小さな町の医療を担う
病床数120床ほどの公立病院で
事件は起きた!?
(投稿の続きは記事の後↓)
ランサムウェア攻撃・身代金要求で町立病院が患者の新規受け入れ停止…テロの標的にもなりうる医療情報、どう守る?
ABEMA TIMESより
「データを盗んで暗号化した。復元して欲しければ連絡しろ。金を払わなければデータを公開する」(原文は英文)。
先月末、徳島県つるぎ町にある町立半田病院のプリンターから出てきた不審なメッセージ。システム管理者が調べたところ、サーバーが「ランサムウェア」と呼ばれる身代金要求型ウイルスに感染し、約8万5000人分の電子カルテが閲覧不能となったほか、医療関係や会計システムがダウン。患者たちの情報が無い中、医師・職員たちは今も手作業で治療や診察、運営にあたり、新規の患者受け入れを停止する事態に陥っている。
医療機関のセキュリティに詳しい群馬大学医学部附属病院の鳥飼幸太准教授は「多くの病院はオンラインストレージを使ってバックアップをしているが、そこの部分にセキュリティの構築がされていなかったために侵入されてしまったケースではないかと考える」と話す。
「病院のシステムは病名の共有やアレルギーのチェック、手術時の左右の取り違えの防止などにも使われているので、非常に深刻な問題だ。そうしたことが機械でできない中、この病院で患者さんが亡くなられるようなことが起きていないということは、医療者が非常にすばらしい働きをされているのだと思う。また、検査のためのシステムや、診療報酬を算定する場合の医事会計システムもほとんどの病院に入っているが、これらが停止しているとすれば、全てを手作業でやらなければならない状態にあるはずだ。ご苦労は相当なものだろう」。
増加するランサムウェアによるサイバー攻撃。去年11月にはゲーム大手カプコンが顧客情報などを抜き取られ、データの“身代金”として約11億円を要求される事件が発生。アメリカでも今年5月、最大級の石油パイプライン運営会社がハッカーグループの攻撃を受けてパイプラインが一時全面停止、ガソリン価格高騰の要因になるなど、市民生活にも大きな影響を及ぼしている。
「誘拐の場合、身代金を払ったからといって、本当に人質を解放するのかどうかわからない。ランサムウェアの場合も同じで、元に戻してくれるという保証が何もないのもジレンマだ。システムが脆弱であれば二度、三度と狙うということも考え得るし、模倣犯が発生してしまうリスクを増大させることにもなるので、ある意味では報道すること自体、社会的に影響を与えることになる」。
そして、とりわけ世界的に狙われやすいのが医療機関だ。2019年、米アラバマ州の病院の医療機器がサイバー攻撃を受け停止。新生児が脳に重い損傷を受け、後に亡くなるという痛ましい事例が米ウォール・ストリート・ジャーナルによって報じられている。
「病院は稼働額が大きいので、当然、身代金として取れるところから取りたいということで狙われやすい。そして、医療情報は生死に関わる重要なものなので、“捨ててもいいよ”という判断が非常にしづらいということもある。さらに言うと、日本の医療法では診療録は5年間の保存義務があるが、がん患者さんや、生まれてから病気を抱えている患者さんもいるので、ほとんどの病院が自助努力で5年を超えた分の病歴などのデータを溜めている。そうした意味では、国力を削ぐための海外からのテロ犯罪としても狙われやすい素地はあると思う」。
では、医療機関はどのような対策を取ればよいのだろうか。
「カルテが見られなくなるような攻撃の仕方以外にも、医療機器そのものを停止・誤動作させるといった攻撃も考えられる。医療機関には古い機器と新しい機器が混在している状態がほとんどで、なおかつ新しいものはデータ連携を進めてきているので、かなり上手くやらなければセキュリティが保てない。また、データセンターについても、クラウドに置けば安全かというと、そういうことはない。例えば通信障害が起きてしまうと、それによって病院機能が止められてしまうことになる。大病院に集約していくとか、セキュアな場所を担保していく、ある種の分散クラウドのような考え方を進めていくべきだと思う」。
慶應義塾大学の夏野剛特別招聘教授は「アナログで文書を5年分も保管していたら、そこから患者さんの数に探してくる手間が追いつかなくなってしまう。デジタル化されることによってハッキングされたときの影響も大きくなっているが、それ以上に生産効率を上げたり、社会が豊かになったりしている。危ないからアナログに戻せというのは、年間3500件の交通事故死亡を無くすために車に乗るのをやめるか、という話になってしまう。患者個人に関して言えば、カルテのコピーをお医者さんにもらって、自分でファイルしておくという仕組みもありだと思う」とコメント。
鳥飼准教授も「やはり組み合わせて使うということがベストソリューションだ。夏野さんがおっしゃった通り、例えばiPhoneの中には国際情報医療規格FHIRに準拠したデータが入るようになっているので、そうしたものを利用して自分のデータを手元に持っておくということもできると思う。また、これはマイナンバーの普及と両輪だが、“千年カルテ”というプロジェクトでは、端末に個人のデータを受けられるというサービスもある。とはいえ、電池がなければ当然スマホも見られない。災害時に備えれば、アナログだが血液型、病歴やアレルギーぐらいはメモしておくことで持病のある方が救われることもある。そして情報を標準化し、セキュリティを担保するためのコストを下げていく。病院のシステムは確かに古い部分もあるが、技術は日々進化している。ソリューションもあるので、そういったことを普及させていくことが大事だと思う」と話していた。(『ABEMA Prime』より)
クラッカー(=ブラックハッカー)共は
形振り構わず攻撃を仕掛けてきたね(汗)
身代金さえ取れれば、
わざわざセキュリティを強化している大病院を
苦労して狙う必要ないもんな(苦笑)
中小病院や診療所なんかは
セキュリティがザルなところ
ザラにあるだろうし...(汗)
アァァ(;´□)ノ〜¥ □_ヾ(▼ω▼キ) ニヒヒ
医療機関等を対象とする
セキュリティリスクが顕在化していることへの対応として、
情報セキュリティの観点から
医療機関等が遵守すべき事項等の規定を設けた
「医療情報システムの安全管理に関するガイドライン」
なるものが厚労省から出されているけど、
皆さん、ご存知?
知ってたとしても
診療所や機能が限られた小規模施設なんかは
「うちには関係ないネ」と思っているかも?
だって診療報酬は、
ある程度大きい規模の限られた施設にしか
体制が整えられないような
施設基準しか設定してくれてないんだもん(苦笑)
やっぱ先立つものがないと難しいよね
コレダヨコレ(キ▼д▼)¥
そもそも医療業界って危機感薄いんだよね(苦笑)
その証拠に
医療機関の情報システムの管理体制に関する実態調査において、
情報システムの管理体制について、
委員会等を設置して対策を実施している医療機関は、
全体の3割程度(200床以上の病院に限ると7割)
サイバーセキュリティ対策に関する教育の実施状況については、
なんと!
中小病院や診療所の7~9割が年に1度も教育を実施していない!?
(200床以上の病院でも教育を年1度以上実施しているのは3割程度)
やっぱ金で釣らんと先には進まんと思うよ(苦笑)
コレダヨコレ(キ▼д▼)¥
本日の中医協で、議論されとったようだから
医療提供体制の機能や規模を問わず
全医療機関に広まるような
診療報酬での評価を切に願う
https://www.mhlw.go.jp/stf/shingi2/0000212500_00119.html
0 件のコメント:
コメントを投稿