028-908-4411サイバーテロ
令和4年10月31日、大阪急性期・総合医療センターに「ランサムウェア」と呼ばれる身代金要求型のウイルスによるサイバー攻撃が行われました。この影響により電子カルテや会計システム、処方システムが使えなくなり、一部を除き診療を中断する事態に陥りました。このニュースを見て、もし自院にサイバーテロがあったら・・・と不安を感じた方もいらっしゃるのではないかと思います。医療機関に対するサイバーテロとして今回とても大々的にニュースで取り上げられましたが、数年前から発生しています。
昨今の医療業界の潮流としましては、「医療DX」や「ヘルスケアテック」という言葉に代表される通り、デジタル技術やテクノロジーの進歩、ICT化の波が訪れています。このコラムでも触れましたが、データ提出加算の算定を要件とする診療報酬を増やすなど、国としても推進している分野の一つです。
また、医療機関で取り扱われる患者情報の価値は非常に高いとされており、先ほど述べた医療業界の潮流と合わせて鑑みると、まだまだしっかりと対策を施している医療機関は少なく、狙われやすい業界の一つだと言えるでしょう。
厚生労働省も危機感を感じたのか、令和3年1月に策定した「医療情報システムの安全管理に関するガイドライン」第5.1版をすぐさま更新し、令和4年3月に第5.2版を策定しました。
ガイドラインではランサムウェア攻撃への対策としてバックアップのあり方を明示しています。また、インシデント発生時に速やかに対策を取れるよう、医療情報システムに関する構成図や非常時のシステム責任者の対応義務などについても明記されています。
ガイドライン第5.2版の第6章では医療情報システムの基本的な安全管理について記載されており、最低限のガイドラインとして下記2点が挙げられています。
1.個人情報保護に関する方針を策定し、公開すること。
2.医療情報システムの安全管理に関する方針を策定すること。
その方針には、次に掲げる事項を定めること。
・理念(基本方針と管理目的の表明)
・医療情報システムで扱う情報の範囲
・情報の取り扱いや保存の方法及び期間
・不要・不法なアクセスを防止するための利用者識別の方法
・医療情報システム安全管理者・苦情・質問の窓口
その他、災害、サイバー攻撃等の非常時の対応などの記載があります。細かい内容や詳細はぜひご一読いただければと思いますが、もしご相談等ありましたらお気軽にお声掛けください。
コラム執筆者
税理士法人アミック&パートナーズ
青木 良介
