薬局におけるサイバーセキュリティ対策とチェックリストについて解説

薬局におけるサイバーセキュリティ対策は、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」略称「薬機法」によって定められています。薬局の管理者には従来の責務である従業員の監督、構造設備の管理、医薬品の適切な取り扱いに加えて、サイバーセキュリティの確保に必要な措置を講じることが明確化されました。

具体的には、令和5年4月に施行された改正薬機法施行規則により、薬局の管理者が遵守すべき事項として、薬局のサイバーセキュリティ確保について必要な措置を講じることが明確に追加されています。

サイバーセキュリティの確保が明記されたことは、デジタル化が進む医療・医薬品分野で、患者情報や医薬品情報の保護が一層重要視されていることの表れです。

出典：厚生労働省/医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則の一部を改正する省令の施行等について

薬局におけるサイバーセキュリティ対策が重要な理由として、医療機関を狙ったサイバー攻撃が増加していることと、医療分野でDXが推進していることの2つの理由が挙げられます。

それぞれの理由を詳しく解説します。

医療機関を狙ったサイバー攻撃が増加している 

薬局におけるサイバーセキュリティ対策が重要視されている背景には、医療機関を標的としたサイバー攻撃の増加があります。2023年4月に警察庁が公表した報告書によれば、医療・福祉分野でのランサムウェア攻撃による被害件数が急増していることが明らかになりました。

国内の医療機関では、こうした攻撃により電子カルテシステムが利用できなくなるなどの深刻な影響が既に発生しています。

状況を重く見た警察庁は、医療機関におけるランサムウェア被害の増加を踏まえ、サイバー事案に係る被害の未然防止を図るため、公益社団法人日本医師会や四病院団体協議会、各国公私立大学病院に対して連携強化に関する依頼を行っています。

出典：警察庁サイバー警察局/サイバー事案の被害の潜在化防止に向けた検討会報告書 2023
出典：警察庁/令和５年におけるサイバー空間をめぐる脅威の情勢等について

医療分野でDXが推進している 

薬局におけるサイバーセキュリティ対策の重要性は、医療分野全体でのDX推進が関連しています。2023年4月から、保険医療機関・保険薬局でのオンライン資格確認が原則義務化され、マイナンバーカードや健康保険証を活用した資格情報のオンライン確認システムが導入されました。

薬局業務の効率化や利用者の利便性向上が期待される一方で、サイバー攻撃による情報漏えいのリスクも高まっています。オンラインシステムを通じて扱われる患者の個人情報や処方情報は極めて機密性が高く、情報漏えいは深刻な被害をもたらす恐れがあるため、薬局における適切なシステム管理とセキュリティ対策の実施が不可欠です。

薬局におけるサイバーセキュリティ対策チェックリストは、厚生労働省によって次の3つのチェック項目が定められています。

• 体制構築
• 医療情報システムの管理・運用
• インシデント発生に備えた対応

それぞれのチェック項目を詳しく解説します。

 出典：厚生労働省/令和6年度版「薬局におけるサイバーセキュリティ対策チェックリスト」及び「薬局におけるサイバーセキュリティ対策チェックリストマニュアル」

体制構築

薬局におけるサイバーセキュリティ対策の基盤となるのが適切な体制構築です。薬局では医療情報システムの安全管理を担当する「医療情報システム安全管理責任者」と、システムの日常的な運用を担当する「システム運用担当者」の2つの役職を設置することが求められています。

「医療情報システム安全管理責任者」には特に重要な役割が課せられており、薬局内の情報セキュリティ方針の策定をはじめ、従業員に対する教育・訓練の実施を含む包括的な情報セキュリティ対策を推進しなければなりません。

責任者は、薬局内のサイバーセキュリティリスクを評価し、適切な対策を講じるとともに、万が一インシデントが発生した際の対応計画の策定も担当します。

医療情報システムの管理・運用

薬局における医療情報システムの管理・運用では、サーバや端末PC、ネットワーク機器などの管理台帳の作成が欠かせません。また、各機器やシステムへのアクセス権限の適切な設定、そしてアクセスログの取得と確認ができる体制を整えることも重要な要素です。

管理台帳の作成は単なる事務作業ではなく、薬局内に存在するすべてのIT資産を正確に把握し、漏れなく抽出することで、効果的なサイバーセキュリティ対策の基礎となる作業です。

管理台帳がないと、どの機器にセキュリティ対策が必要か、古いOSや未対応のソフトウェアがどこにあるのかを特定できず、結果として対策の漏れや弱点を生じさせる恐れがあります。

インシデント発生に備えた対応

薬局においてサイバーセキュリティインシデントに備えるためには、事前の準備が重要です。インシデント発生時の組織内外の連絡体制の整備、データやシステムの定期的なバックアップの実施、バックアップを用いた復旧手順の確認も欠かせません。

サイバー攻撃を想定した事業継続計画（BCP）の策定も必要です。ランサムウェア攻撃などにより電子カルテシステムやレセプトコンピュータが使用不能になった場合でも、患者への医薬品提供を継続できる代替手段を事前に計画しておかなければなりません。

事前準備や定期的な訓練の実施により、インシデント発生時に混乱することなく、速やかに適切な対応ができる体制を整えることが可能です。

サイバー攻撃を防ぐためには、次のポイントに日常的に気を付ける必要があります。

• パスワードは簡単に推測できるものにしない
• アクセス制御が適切に行われているか確認する
• アップデートは迅速に行う

それぞれのポイントを、サイバー攻撃対策の参考にしてみてください。

パスワードは簡単に推測できるものにしない 

サイバー攻撃からシステムを守るための基本対策として、適切なパスワード管理が重要です。システムへの不正侵入リスクを減らすためには、容易に推測できるパスワードを避け、強固なID・パスワード設定が欠かせません。

「password」や「123456」のような単純な文字列、自分の名前や誕生日などの個人情報に基づくパスワード、キーボード配列に沿った「qwerty」のような組み合わせは避けるべきです。また、複数の機器やシステムで同一のパスワードを使い回すことも大きなリスクとなりかねません。

効果的なパスワードは、英大文字・小文字、数字、特殊記号を組み合わせた長く複雑なランダム文字列です。

アクセス制御が適切に行われているか確認する 

サイバー攻撃を防ぐためにできることとして、適切なアクセス制御の実施が挙げられます。医療機関や薬局のネットワークでは、外部との接続点やIoT機器などの通信経路を正確に把握し、それぞれに適切な対策が講じられているかを定期的に確認しなければなりません。

アクセス制御の本質は、「必要な人が、必要なタイミングで、必要な情報にのみアクセスできる」状態を確立することです。同時に、権限のない第三者のアクセスを確実に拒否する仕組みも重要となるでしょう。

医療情報のような機密性の高いデータを扱う環境では、役割ベースのアクセス制御を導入し、職種や業務内容に応じた最小限の権限付与を徹底することが推奨されます。

アップデートは迅速に行う 

サイバー攻撃を防止するための対策として、ネットワーク機器やソフトウェアの迅速なアップデートが挙げられます。ネットワーク機器に存在する脆弱性がサイバー攻撃の侵入口となるケースが多く、ファームウェアやセキュリティパッチの迅速な更新適用は基本的かつ効果的な防御手段です。

薬局では、定期的に脆弱性情報を確認し、使用しているすべての機器やソフトウェアの更新状況をチェックする習慣を身に付けることが大切です。また、ウイルス対策ソフトなどのセキュリティ対策ソフトが常に最新の状態で稼働しているか確認することで、サイバー攻撃のリスクを大幅に軽減できます。

本記事では、薬局におけるサイバーセキュリティ対策を解説しました。令和5年4月に施行された改正薬機法施行規則により、薬局の管理者が遵守すべき事項として、薬局のサイバーセキュリティ確保について必要な措置を講じることが明確に追加されました。

医療機関を標的としたサイバー攻撃の増加に対応するため、厚生労働省によって公表されているチェックリストを確認することがポイントです。
サイバー攻撃を防ぐためには、網羅的な対策が必要となりますが、医療情報を取り扱うシステムのログインを強化することも対応の1つになります。

医療機関向けの「3省2ガイドライン」では、令和9（2027）年度時点で稼働していることが想定される医療情報システムには、原則として二要素認証を採用することが求められています。

IDaaS「Gluegent Gate」は多要素認証やアクセス制御の機能を備えたセキュリティ対策ソリューションです。二要素認証の導入を検討される際には、ぜひ、サイオステクノロジーへご相談ください。