医療機関が抱えるセキュリティリスクと具体的な対応策とは？

近年、日本では少子高齢化が急速に進み、現在よりも医療や福祉を必要とする人が増加することが予想されます。

人々の健康を守り安心な暮らしを支えている医療業界ですが、さまざまな課題に直面しています。以下にて、医療業界が直面している課題について言及していきます。

人材不足

医療業界の就業者数は近年右肩上がりで増加しているものの、少子高齢化が進む中で、現役世代の急減が懸念されています。

厚生労働省職業安定局「雇用政策研究会報告書」（2019年7月）によると、2040年（令和22年）には、医療・福祉分野における就業者数が96万人不足すると推計されています。

デジタル化の遅れ

国内のさまざまな業界でデジタル化が進められている中、医療・福祉業界はデジタル化が遅れています。

2023年（令和5年）3月に発行された独立行政法人情報処理推進機構による「DX白書2023」によると、医療・福祉産業のDX（デジタルトランスフォーメーション）の取り組み状況は9％となっており、他の産業に比べて遅れていることが明らかになりました。

長時間労働

医療業界では、医師を中心に長時間労働が問題となっています。

労働環境を改善するためにさまざまな対応がとられており、2024年度（令和6年度）からは、医療施設は時間外労働が月100時間以上の医師に対して健康確保のために面接指導が義務づけられます。

医療DXとは、デジタル技術によって保健・医療・介護の業務プロセスや医療サービスを変革し、より良い医療やケアを受けられるように社会や生活の形を変えていくことです。

政府も医療DXを推進しており、2022年（令和4年）5月に自由民主党政務調査会が「医療DX令和ビジョン 2030」の提言を発表し、2030年までに電子カルテ普及率を100％とするなどの目標を掲げています。

医療DXの概要

医療DXは、行政と関係業界が一丸となって進めている医療業界の変革です。保健・医療・介護の各業務で発生したデータ保存の外部化・共通化・標準化を図り、クラウドを活用した医療情報システムの安全な管理を推進しています。

医療DXの主な取り組み

医療DXの主な取り組みは「全国医療情報プラットフォーム」「電子カルテ情報の標準化、標準型電子カルテの検討」「診療報酬改定DX」があります。

「全国医療情報プラットフォーム」は、医療被保険者情報や健診情報、処方箋情報など、医療（介護を含む）に関する情報を共有・交換できる全国的なプラットフォームです。

「電子カルテ情報の標準化」では、国際標準となりつつあるHL7 FHIRを交換規格とし、厚生労働省が共有すべき項目の標準コードや交換手順を定めたものです。

診療情報提供書や退院時サマリー、検診結果報告書の3文書と、傷病名、アレルギー情報などの6情報が対象で、順次情報を拡大していく予定です。

「標準型電子カルテの検討」では、電子カルテ未導入の一般診療所など向けに、HL7 FHIRに準拠したクラウドベースの電子カルテの開発を検討しています。

「診療報酬改定DX」は、診療報酬改定時にベンダや医療機関の業務負担を軽減することを目的にした施策で、「共通算定モジュール」の導入などの取り組みが示されています。

近年、医療現場でのデジタル化が急速に進められていますが、それに伴ってセキュリティインシデントが相次いでいます。ここではセキュリティインシデントが相次ぐ背景と、具体的な事例を見ていきます。

セキュリティインシデントの増加

近年、国内外の医療機関、特に病院でセキュリティインシデントが次々に起こっています。

インシデントは人為的要因やサイバー攻撃、コンピューターウィルス感染など、さまざまな要因によって発生します。

セキュリティインシデントの危険性

医療機関でセキュリティインシデントが発生すると、病歴や検査情報などセンシティブな個人情報が外部に流出する危険性があります。

電子カルテシステムがウィルスに感染したり、サイバー攻撃にあったりした際には、診療や手術などの業務を停止させなければならない場合もあります。

セキュリティインシデントの事例

2021年10月、徳島県のつるぎ町立半田病院で、電子カルテシステムのメインサーバーがランサムウェアによって攻撃されました。この攻撃により、システムに保存されていた約85,000人の患者データは暗号化されたことでアクセス不能となり、同病院の業務に甚大な影響を及ぼしました。

その他にも、2022年1月に東京都の日本歯科大学病院で3つのサーバーがコンピューターウィルスに感染し、4日間新規患者の受け入れや診療の一部を停止せざるを得ない事態になった事例など、医療機関のセキュリティインシデントが次々に報告されています。

厚生労働省では、医療機関がデジタル化を進めるに当たって確認すべきガイドラインを「電子処方箋の運用ガイドライン」などで定義しています。

ガイドラインが整備されている一方で、医療機関でのセキュリティインシデントが相次いで起こっているのはなぜなのでしょうか。

外部調査により判明した実態

日本医師会総合政策研究機構で2021年4月に発表した「病院・診療所のサイバーセキュリティ：医療機関の情報システムの管理体制に関する実態調査から」によると、医療機関で情報システム専任の担当部門があるのはわずか20.6％で、兼務の担当者がいると回答した機関は33.2％、院長自ら管理と回答した機関が31.6％との結果が示されました。

また、厚生労働省ガイドラインを活用している医療機関は27.9％にとどまり、知っているが活用していないが32.9％、知らないが39.2％となっています。

セキュリティ対策が浸透しない要因

医療機関では、システム専任の担当者不足や厚生労働省ガイドラインの認知度の低さから、情報セキュリティ対策が浸透していないと考えられます。

また、「医療の質」を維持するために医療従事者の利便性が求められ、利便性を制約すると考えられているセキュリティ対策はなかなか進まないというのが現状です。

しかし、セキュリティインシデントは、情報を流出させるだけでなく、業務に多大な影響を及ぼしかねません。「医療の質」を維持するためにも、医療機関でのセキュリティ対策は早急に進める必要があります。

ここでは、医療機関が優先して取り組むべきセキュリティ対策を見ていきます。

セキュリティ対策を行うポイント

セキュリティ対策は専門領域のため、組織的対策となる情報システム部門や専任の担当者を設置する必要があります。

その上で、システムの全体像やセキュリティ対策を見える化し、まずはリスクの全容を明らかにすると良いでしょう。

（大規模医療機関）セキュリティアセスメントによる現状把握

十分なセキュリティ対策がとれているかどうかをチェックするには、厚生労働省のガイドライン「医療情報システムの安全管理に関するガイドライン」が有効です。

実施できていない対策を洗い出し、影響度の大きいリスクから順に対策を実行していくことが求められます。

（小規模医療機関）チェックリストの活用

小規模医療機関は、厚生労働省から出されている「医療機関のサイバーセキュリティ対策チェックリスト」に基づいて現状を把握する必要があります。

セキュリティのどの部分に弱みがあるかが分かったら、影響度の大きいリスクから優先的に対策をとると良いでしょう。
セキュリティ対策は、継続的に行うことが重要です。厚生労働省から発信される情報や資料などを定期的に確認し、セキュリティ対策をアップデートしていくと良いでしょう。

本記事では、医療機関が抱えるセキュリティリスクと具体的な対応策のポイントについて解説しました。人々の命を守る医療業界こそ、セキュリティ対策に優先的に取り組む必要があります。

機密情報を守り、業務を止めないシステムを維持するために、最新の動向をチェックしながら、求められるセキュリティ強化に努めていくと良いでしょう。