医療業界の情報漏洩対策とは？医療情報システムのガイドラインを解説！

医療業界の情報漏洩の現状

DX（Digital Transformation）の進展が急速に進むなか、さまざまな業界において情報漏洩事故は後を絶ちません。とりわけ医療業界では、電子カルテの普及やコロナ禍によるクラウドサービス普及を背景に、人為的なミスやサイバー攻撃による情報漏洩の脅威がますます増しています。

医療従事者の主な情報漏洩の原因

情報漏洩を原因別に見た国立研究開発法人 科学技術振興機構の調査「看護職者が起こしやすい個人情報漏えい事故の原因に関する分析」によると、看護職者の起こした主な事故原因は，「置き忘れ・紛失（36.8％）」が最も多く、次いで「不適切な持ち出し等（27.9％）」、「誤送付・誤配布・郵送中の事故（20.6％」の結果となっています。一方、医師については、「不適切な持ち出し等（50.5％」が最も多く、「置き忘れ・紛失（28.6％）」、「盗難（14.8％）」と続く結果です。

サイバー攻撃のリスク

情報セキュリティに関し、何十億ものデータポイントから観察・分析した新しいトレンドと攻撃パターンを調査したIBM社のレポート「 X-Force脅威インテリジェンス・インデックス2021」によると、新型コロナウィルス対策に重要な役割を担う医療業界と、製造、エネルギー業界は、サイバー攻撃の件数が前年比で倍増するなど、リスクが増しています。医療業界への攻撃は、上位10 業界に対する攻撃全体の 6.6% を占めています。2019年の3%から倍増しているように、急激にサイバー攻撃リスクが増大していることが解ります。

医療業界の情報漏洩要因の3つの分類

医療業界の情報漏洩原因は、ここまで見てきたように「人為的なミス」や「不正行為」、「サイバー攻撃」による情報漏洩に大別されます。
ここでは、情報漏洩を原因別に見た国立研究開発法人 科学技術振興機構の調査「看護職者が起こしやすい個人情報漏えい事故の原因に関する分析」(2018)やSOMPOリスクマネジメント 損保ジャパンRMレポート「医療分野におけるサイバー攻撃の動向と医療機関でのサイバーセキュリティ対策」(2021)を参考に、それぞれの情報漏洩原因を解説します。

医療従事者における人為的なミス

一つ目は、医療従事者における人為的なミスです。情報漏洩事故で最も多い原因であり、主に「置き忘れ」「紛失」が挙げられます。具体的には、「ポケットに入れたUSBメモリを紛失した」「所定の場所においた書類がなくなった」など、院内で媒体が所在不明となったケースや、電車やタクシー内で情報媒体が入った鞄を置き忘れたケースがあります。

医療従事者の不正行為

二つ目は、医療従事者の不正行為です。人為的ミスに次いで多い事故であり、主に「不適切な持ち出し」「意識的な開示」「目的外使用」「過剰な情報提供」等があります。具体的には、「不正にPCやUSBメモリ、書類などの媒体を持ち出す・コピーする」などのケースや、「第三者に患者の個人情報を伝える」「SNSに患者の情報や写真の掲載」といったケースの行為が挙げられています。

サイバー攻撃

三つ目は、サイバー攻撃です。 ランサムウェアを中心としたサイバー攻撃が世界的な社会問題となっています。こうしたなか医療業界は、価値の高さやネットワーク機器が増加していることから、サイバー攻撃リスクが各段と高まっています。

このランサムウェアとは、身代金要求型の不正プログラムであり、感染したPCに保存されているデータが暗号化され、身代金を支払わないと制限を解除できない仕組みです。SOMPOリスクマネジメントのレポートによると、2021年4月の週平均ランサムウェア攻撃試行数は、医療分野が109件で1位となっており、医療分野へのサイバー攻撃リスクが増大しています。 医療分野におけるICT化が促進されていることを背景に、ネットワーク機器が増加していることがサイバー攻撃リスクを増大させていることにも留意が必要です。

参考：医療機関の個人情報漏洩事件まとめ

医療情報システムの安全管理に関するガイドライン 第5.2版の4つのポイント

医療業界における人為的なミスや不正行為、サイバー攻撃による情報漏洩リスクを低減させるには、医療情報システムに関する医療ガイドラインを遵守することが重要です。
ここでは、医療ガイドライン4つのポイントを解説します。
（※）参考・引用：厚生労働省「医療情報システムの安全管理に関するガイドライン 第 5.2 版 本編」

医療機関におけるISMSの実践

ISMS（Information Security Management System）とは、情報セキュリティマネジメントを行うための仕組みを指します。
情報漏洩を防ぐとともに、情報を活用しやすい状態にするための仕組みであり、アクセスを認められている人のみが利用できる状態を指す「機密性」、情報が改ざん・削除をされていない状態を指す「完全性」、速やかに情報を利用できる状態を指す「可用性」の確保と維持が重要になっています。
そのため、「計画」「実施」「点検」「処置」のマネジメントサイクルを回し、継続的な改善をしていくことが求められます。

医療システムと連携する外部サービスの安全性

院内のシステムと、外部アプリケーションやクラウドサービスの間で連携している場合、アプリケーション間のデータ引き渡しが必要になります。この連携手段としてAPI（Application Programming Interface）連携が活用されています。

API連携とは、ソフトウェアやアプリケーション間のデータを簡単に連携させる仕組みであり、データ引き渡しに手作業が必要なく効率的なシステム運営が可能です。しかし、Web上でデータが引き渡しされる仕組みの場合、サイバー攻撃の起点となる恐れがあります。このAPI連携のセキュリティを確保するため、API連携を利用するユーザー・アプリケーションやデバイスの限定をするほか、アクセスポリシーやログ管理を明確化することがポイントになります。

電子署名について

電子署名とは、「書面に記名・捺印」による書面に代えて、Web上で「電子文書に電子署名」をする仕組みを指します。
この電子署名は「タイムスタンプ」により、電子署名時の契約日時を証明し、電子署名後に改ざんできない仕組みが講じられています。電子署名に関する争訟が生じた場合に備え、「十分な暗号強度を有していること」「他人が容易に同一の鍵を作成できないものであること」「電子署名が本人の意思に基づき行われたものであること」を満たした電子署名の仕組みを用い、立証責任の軽減を図ることが重要です。

2つの対応基準

2つの対応基準とは、「外部保存を受託する事業者の選定基準」と「情報の取扱いに関する基準」を指します。 「外部保存を受託する事業者の選定基準」とは、医療情報を安全に外部のデータセンターに預けるための事業者選定基準です。この選定の際には、総務省・経済産業省が定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の要求事項を満たし、かつ遵守していることに着目してください。

「情報の取扱いに関する基準」とは、「病院、診療所、医療法人等が適切に管理する場所に保存する場合」と「医療機関等が外部の事業者等との契約に基づいて確保した安全な場所に保存する場合」で区分され、適切に対応することが求められています。このガイドラインには、「最低限のガイドライン 」と「推奨されるガイドライン」が区分毎に定められています。最低限のガイドラインを満たしていることはもちろん、極力、推奨されるガイドラインに近しい取り組みを行っている事業者を選定することが重要です。

医療情報システムガイドライン第6.0版【案】について

ランサムウェアを中心とした医療機関のサイバー攻撃リスクの増大を背景に、2023年3月10日、厚生労働省は医療法施行規則の一部改正（2023年4月1日施行）により、サイバーセキュリティ確保のための措置を講じる規則を新設しました。この改正医療法の施行に先立ち、医療等情報利活用ワーキンググループは、2022年12月15日、「医療情報システムの安全管理に関するガイドライン第 6.0 版」の案を策定しています。

この第6.0版（案）では、医療情報システムの安全管理の実効性を高めることを目的に、抜本的に構成を見直しています。具体的には、読者類型ごとに「経営管理編」「企画管理編」「システム運用編」に分冊化し、それぞれに求められる遵守事項やその考え方を示しています。また、クラウドサービスの普及や近時のサイバー攻撃のリスク増大を踏まえて、安全管理措置を中心に見直しを行っています。

第6.0版（案）の公表スケジュールについて、2023年３月23日に実施した第16回 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ（厚生労働省）の資料「「医療情報システムの安全管理に関するガイドライン」改定 について」によると、本ガイドライン案について、2023年3月30日から同年4月28日まで意見募集（パブリックコメント）をしており、最終案の調整後、同年5月中旬を目途にガイドラインの公表を予定しています。詳細は、下記のe-Govパブリック・コメントのサイトをご参考ください。
※参考：総務省・e-Govパブリック・コメント：「医療情報システムの安全管理に関するガイドライン第6.0版（案）」に関する御意見の募集について」

医療情報システムの安全管理に関するガイドライン第6.0版の構成と解説

本ガイドラインは、各編に共通する前提となる内容となる「概説編」、医療情報システムの安全管理の統制を対象とする「経営管理編」、医療情報システムの安全対策の管理や組織的な対応に関する対策を示す「企画管理編」、技術的な対応に関する対策を対象とした「システム運用編」で構成されています。

ここでは、厚生労働省における下記の第6.0版（案）の資料を参考に、各編におけるそれぞれの概要を解説します。
（引用・参考）厚生労働省：「「医療情報システムの安全管理に関するガイドライン」改定 について」「資料１ 「医療情報システムの安全管理に関するガイドライン第 6.0 版」の骨子（案）について」「医療情報システムの安全管理に関するガイドライン 第6.0版 概要」

意思決定・経営層【経営管理編】

経営層として遵守・判断すべき事項のほか、企画管理やシステム運営の各組織に指示・管理すべき事項と考え方について、主に次のとおり定めています。
・ 医療情報システムの安全管理に関する責任・責務
・ リスク評価を踏まえた管理（ISMSの実践等）
・ 医療情報システムの安全管理全般（内部統制やセキュリティ管理、BCPの情報セキュリティインシデントへの対策等）
・ 医療情報システム・サービス事業者との協働（事業者の選定や管理、責任分界等）
委託責任として、従来、医療情報システムにおける委託事業者の過失においても、医療機関が責任を追うと定めていたところ、「適切なシステム関連事業者の選定が求められる」とするなど、適切な安全管理の実効性を高めていることがポイントです。

システムの安全管理者【企画管理編】

組織体制や情報セキュリティ対策における規程の整備や統制の実務担当者として遵守すべき事項のほか、医療情報システムの実装・運用について定めています。主に、システム運用担当者に対する指示・管理を行うために遵守すべき事項や考え方などが対象です。
・ 医療情報システムの安全管理全般
・ リスクアセスメントとリスクマネジメント
・ 情報管理
・ 医療情報システムに用いる情報機器等の管理
・ 非常時の対応と非常時に備えた通常時からの対策
・ サイバーセキュリティ対策
・ 医療情報システムの利用者に関する認証等及び権限管理
・ 法令で定められた記名・押印のための電子署名
医療情報システム利用者の認証について、「IAL/AALのレベル２以上が望ましい」とするなど、新たに身元確認保証レベルを定めています。

システムの運用担当者【システム運用編】

医療情報システムやインフラの設計・実装・運用の実務を担う担当者として、主に次の事項に対して、技術的な対応内容や考え方を示しています。

・医療情報システムの安全管理における技術的対策
・システム設計・運用に必要な規程類と文書体系
・技術的な対応における責任分界
・ リスクアセスメントを踏まえた安全管理対策
・非常時の対応と非常時に備えた通常時からの対策
・サイバーセキュリティ対策
・医療情報システムの利用者や連携するアプリケーションの認証等及び権限管理
・電子署名に関する技術的対応

医療情報システムの専任担当者の有無や導入するシステム形態によっては、情報システム・サービス事業者に確認や委託を求める内容も記されていますので、参考にしてください。また、今般の改正では、無線LANにおける不正アクセス対策の一環である「MACアドレス（それぞれのコンピュータ機器がもつ固有の番号）によるアクセス制限」について、効果が限定的であることを追記しています。「MACアドレス制限を講じているから安心」と過信せず、常に進化していくセキュリティリスクに対応できるよう、ガイドラインに沿ってセキュリティ対策を講じることが重要です。

まとめ

ここでは、医療業界の情報漏洩の現状や原因のほか、医療情報システムのガイドラインを解説しました。
医療業界では、人為的なミスやサイバー攻撃による情報漏洩の脅威がますます増しているなか政府は、医療情報システムの安全管理措置強化を目的に、医療情報システムガイドライン第6.0版（案）の策定を進めています。
常に進化し続けるサイバー攻撃リスクや、クラウドサービス普及に伴う情報漏洩リスクに対応すべく、常に医療情報システムのガイドラインを注視し、医療情報システムにおける安全管理の実効性を高めてください。

関連記事：中小企業の情報セキュリティ対策 - ガイドラインと実態について | 漏洩チェッカー

低コストでセキュリティ対策を始めるなら

• 「セキュリティ対策が求められているが、予算が限られている」
• 「ひとり情シス状態で、管理負担が大きい」

こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。

予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。

弊社の「漏洩チェッカー」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。

ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点も「漏洩チェッカー」の特徴です。

まずは無料で資料をダウンロードしてお確かめください。

漏洩チェッカー：https://stmn.co.jp/roei-checker/
運営会社：株式会社スタメン（東証グロース市場4019）