医療機関サイバーセキュリティ体制構築支援導入事例 - 対策マニュアルの作成から研修による理解促進まで徳島県内医療機関のサイバーセキュリティ体制構築を支援

トップページ
導入事例
医療機関サイバーセキュリティ体制構築支援導入事例

対策マニュアルの作成から研修による理解促進まで徳島県内医療機関のサイバーセキュリティ体制構築を支援医療機関サイバーセキュリティ体制構築支援導入事例

徳島県様

セキュリティ

サイバー攻撃により県内医療機関の診療活動が停止　リスク評価をもとにサイバーセキュリティ対策を見直し

2021年10月、徳島県内の医療機関を標的とした、身代金要求型ウイルス「ランサムウェア」によるサイバー攻撃が発生した。電子カルテシステムなどの停止により、診療再開まで約2カ月を要するなど、地域の医療提供体制に多大な影響を及ぼした。このような事態の再発防止に向け徳島県医療政策課は、両備システムズの支援のもと、県内医療機関のセキュリティシステムの導入状況や対策の調査、および対応マニュアルの整備等を実施し、県内医療機関のサイバーセキュリティ対策強化を実現した。

徳島県保健福祉部医療政策課様

徳島県保健福祉部医療政策課では、地域医療および介護の総合的な提供体制の確保をはじめとして、医療機関に対する指導、救急、災害、広域医療連携、そして広報活動など、医療に関する幅広い業務を担っています。また、担当業務の一環として、医療機関の情報化に向けた指導についても取り組んでおり、サイバーセキュリティ対策の実施に関する指導、啓蒙活動も推進しています。

対象製品

医療機関向けサイバーセキュリティ支援サービス「Ryobi-MediSec」

厚生労働省が公表した「医療情報システムの安全管理に関するガイドライン」に沿って、医療機関がランサムウェアを含むサイバー攻撃に備えた対策を実施できるよう、実地調査による評価・分析、チェックリストとマニュアル作成、研修など、多岐にわたる支援を提供し、医療機関のサイバーセキュリティ体制の構築を支援します。

製品情報ページへ

医療機関のサイバーセキュリティ対策の課題と効果

地域医療機関へのサイバー攻撃が発生

ランサムウェアの感染により電子カルテシステムなどの運用が停止。診療再開まで約2カ月を要するなど、地域医療活動に多大な影響が及んだ。

実地調査により、現在のセキュリティ対策実施状況を可視化

特定の医療機関への実地調査により、セキュリティ対策の実装度を再確認。現在の対策が他医療機関と比較してどのような状態であるかを確認することができた。
専任の担当者が不在、
サイバーセキュリティ対策の実施が困難

小規模の医療機関では、専任の情報システム部門／セキュリティ担当者を配置できず、医師や事務職員が兼任しているケースが多い。そのため、サイバーセキュリティ対策の実装が困難となっていた。

チェックリストとマニュアルで、必要なセキュリティ対策を把握

専任のセキュリティ担当者が不在の医療機関でも、サイバーセキュリティ対策のレベルを把握し、必要な対策が実施できるようになった。
サイバーセキュリティ対策を行うためのノウハウが不足

日常的に必要なサイバーセキュリティ対策について、「何から始め、どのようにして実施していけばよいか分からない」、という課題が顕在化していた。

担当者向けの研修の実施により、セキュリティ対策の理解度が向上

医療機関の規模や管理体制に合わせて、セキュリティ担当者向けに研修を実施した。必要なサイバーセキュリティ対策に対する理解を促進させることができた。

課題・経緯

県内の医療機関がサイバー攻撃の被害に

　2021年10月、徳島県の町立病院がランサムウェアによるサイバー攻撃を受けたことで、電子カルテシステムが停止するという事案が発生しました。診療再開までに約2カ月を要するなど、地域医療に大きな影響を与えることとなりました。
　このセキュリティ事案の発生を受けて徳島県医療政策課では、県内の医療機関を対象に情報システム化の取り組み状況やサイバーセキュリティ対策の状況について調査を実施しました。その結果、情報システム部門や専任のセキュリティ担当者が不在の小規模病院では、医師や事務職員が兼務しており、サイバーセキュリティ対策が十分に行えない状況にあることが分かりました。

導入の決め手・導入後の効果

現状調査に基づき、対策マニュアルを作成

　事態を重く見た徳島県は、県内医療機関のセキュリティ体制強化に向け2022年度の予算を計上、公募型プロポーザルを実施し、その支援を担う事業者の選定に着手しました。検討の結果、セキュリティエンジニアが在籍しているセキュリティ部門のみならず、電子カルテなど医療情報システムを手掛けるヘルスケア部門があり、医療用語や医療業界を取り巻く環境について造詣が深く、徳島県が提示した要件定義書に最も合致した、両備システムズを実施事業者として選定しました。
　今回、両備システムズの支援のもと、「モデル医療機関のサイバーセキュリティの脅威に対するリスク評価、リスクアセスメント」をはじめ、その結果に基づいた「県内医療機関向けサイバーセキュリティ対策マニュアルおよびチェックリストの作成」、そして、「県内医療機関サイバーセキュリティ担当者向け研修業務」を実施しています。例えば、サイバーセキュリティ対策マニュアルの構成では、情報システムやサイバーセキュリティに不慣れな担当者にも分かりやすい内容にすることを心がけ、両備システムズの担当者と協議を重ねながら作成していきました。具体的には、図版やセキュリティ専門用語の解説などを多く取り入れ、最終的には、これまでセキュリティに関する知識が十分でない医師、担当者の方にも理解しやすい内容に仕上げることができました。

今後の期待

さらなる理解促進に向け研修会も実施

　さらに、引き続き両備システムズの支援のもと、サイバーセキュリティ対策への理解をより深めてもらうために、専任のシステム／セキュリティ担当者が在籍する大規模医療機関、および院長、事務職員の方が兼任する小規模医療機関を対象とした2つの研修会も開催しました。研修会には約200名が参加、アンケート調査の結果から「分かりやすい」「サイバーセキュリティ対策の必要性が理解できた」といった好評価が寄せられました。サイバーセキュリティ対策は継続が重要であり、今後も両備システムズには、徳島県の医療機関が安心して診療に従事できるような提案や支援を期待しています。

徳島県医療機関向けサイバーセキュリティ対策のマニュアル／チェックリスト／研修

県内モデル医療機関へのヒアリングや実地調査により得られた知見等から、医療機関においてセキュリティ対策レベルをセルフチェックする為の「サイバーセキュリティ対策チェックリスト」と、具体的な対策を実施する為の「サイバーセキュリティ対策マニュアル」を提供しました。
また、セキュリティインシデントが発生した際の対応マニュアルおよびチェックリストも作成し、セキュリティインシデントの予防、検知、対応、復旧に備えることができます。これらのマニュアル及びチェックリストの活用方法等に関する研修を、医療機関の規模や管理体制応じて2種類、計4回実施しました。