2022.02.24業界動向

電子カルテのセキュリティ ランサムウェアについてご説明

Pocket

ランサムウェア

近年、医療機関を狙ったランサムウェア(身代金要求型コンピュータウィルス)による被害が増加しています。

この問題を受けて、厚生労働省では今年度中に医療機関に向けた新たな情報セキュリティ指針を策定すると報じられています。

本記事ではランサムウェアと電子カルテシステム運用上のセキュリティ対策についてご説明します。

 

 

ランサムウェアとは

独立保管

感染し、被害を受けると元に戻すための身代金(ランサム)を要求されるコンピュータウィルスのことをランサムウェア(身代金要求型ウイルス)と呼びます。

コンピュータがランサムウェアに感染すると、そのコンピュータ内だけではなくネットワーク上のデータが暗号化されたりシステムがロックされて使えない状態となり、復旧させるための身代金(仮想通貨など)の支払いを要求されます。

特に最近では、暗号化されたデータ復旧のための身代金要求だけでなく、暗号化の

前にデータを窃取し、これの一部をインターネット上で公開してデータの所持を誇示し、身代金要求に応じなければ残りの全データを公開すると脅す二重脅迫(ダブルエクストーション)の被害が確認されています。

自らの技術への承認欲求を満たすことや身代金が目的で攻撃がなされますが、

一部には身代金を支払っても復旧されない、あるいは全データを公開や転売されてしまうといった極めて悪質なものも存在します。

なお、調査によると昨今のランサムウェアによる攻撃は対象となるシステムの規模の大小に関係なく無差別的に行われています。端末数や使用者の多い事業所(大企業や大病院)のシステム管理の隙間が狙われているだけではなく、無床診療所の電子カルテのように小規模なシステムや個人のパソコンも攻撃の対象となっており、注意が必要です

 

厚生労働省の新たな指針 カルテデータの「独立保管」

厚生労働省が新たに策定する指針では、電子カルテなどのバックアップデータについては施設のネットワークから切り離して保管することを明記する方針であることが報じられています。

院内システムとバックアップデータがオンラインで結ばれており、これらが同時にランサムウェアに感染し閲覧ができなくなるといった最近の事例を踏まえ、予備のデータを独立して保管することや、保存媒体の種類、更新頻度などについても具体的に示される見通しです。

 

 

電子カルテのランサムウェア対策

ランサムウェア対策

厚生労働省から正式な指針が出されるまで何も対策を講じないというわけにはいきません。

実害が生じていないだけで、今この瞬間にも自院のシステムが攻撃を受けている可能性があります。

こちらでは、厚生労働省が示した方針に準拠し、かつ自院で直ちに行えるランサムウェア対策についてご説明します。

 

1)電子カルテシステムで電子メールを使用しない

ランサムウェアの被害は、受信したメールの添付ファイルやメール本文から偽装WEBへ誘導されることで発生するものも多いため、電子カルテシステムのパソコンでは電子メールを使用しないようにします。

 

2)業務に関係のないWEBサイトにアクセスしない

有害WEBサイトによりランサムウェアに感染する場合もあるので、業務に関係のないWEBサイトへはアクセスをしないようにします。

 

3)アンチウィルスソフトをインストールしていないパソコンを電子カルテシステムに接続しない

ランサムウェアは感染したパソコンからネットワークを通じてデータを暗号化していくため、アンチウィルスソフトをインストールしていないパソコンは絶対に電子カルテネットワークに接続しないようにします。また、万が一パソコンがランサムウェアに感染した場合は、被害が拡大しないよう、すぐにそのパソコンのLANケーブルを抜きます。

 

4)使用しないパソコンの電源を切る

夜間等に活動して感染を広げるランサムウェアの被害を防止するため、使用していないパソコンや、使用しているパソコンでも使用後は直ちに電源を切ります。

 

5)定期的にバックアップ(独立保管)を行う

ランサムウェアへの感染で電子カルテのバックアップファイル自体が暗号化されて電子カルテの復旧ができなくなる可能性があるため、万が一に備えて、バックアップをUSBハードディスクなど電子カルテネットワークから参照できない場所に(パソコンから外した状態で)保存します。

又は、電子カルテメーカーが提供する「クラウドバックアップサービス」に加入します。

当社が提供するクラウドバックアップサービスはリアルタイムで電子カルテデータを保管するために常時VPN接続した状態ですが、バックアップサーバのコピーをランサムウェア対策した環境へと周期的に複数世代分保管する仕組みを実装しており、「独立保管」と同じ状態を担保しています。

 

 

おわりに

本記事では近年増加しているランサムウェアによる被害と電子カルテでのセキュリティ対策についてご説明しました。

ランサムウェアは感染するとデータが暗号化されて使用できなくなり、復旧のための身代金を要求されるコンピュータウィルスです。

厚生労働省ではこの問題を受けて医療機関に向けた新たな情報セキュリティ指針を策定する方針です。

自院で直ちに行える電子カルテのランサムウェア対策は「電子メールを使用しない」、「業務に無関係のWEBサイトを閲覧しない」、「アンチウィルスソフトをインストールしていないパソコンを接続しない」、「使用しないパソコンの電源を切る」、「定期的にバックアップ(独立保管)を行う」などです。

感染し、電子カルテが使用できなくなると自院の診療業務が行えなくなるばかりではなく、万が一盗み出された全ての患者のカルテデータが世界中に拡散されるという事態に陥れば、医療機関としての信用失墜にとどまらず、個人情報保護法に則った損害賠償訴訟を受けた場合の請求総額は天文学的な値となってしまいます。

電子カルテを現在使用中、導入検討中という方は一度メーカー担当者にセキュリティ対策についてご相談されることをおすすめします。

 

 

ユーザー様の声から生まれた新機能搭載、進化した誰もが使える電子カルテ

進化を遂げた、誰もが使えるクラウド型電子カルテ

全国最大級の開業物件検索サイト

タグ : ランサムウェア 対策 電子カルテ
Pocket