医療分野におけるサイバーセキュリティ強化：最新ガイドラインと義務化の動向

1．はじめに

医療分野におけるデジタル化の進展に伴い、患者情報の保護とシステムの安全性確保がますます重要となっています。この課題に対応するため、厚生労働省は「医療情報システムの安全管理に関するガイドライン」を策定し、定期的に更新を行ってきました。2023年5月に公表された最新の第6.0版では、急速に変化する医療情報システムの環境に対応するため、大幅な改訂が行われました。 この最新版ガイドラインでは、サイバーセキュリティ対策の強化が最重要課題として位置づけられています。

2．医療機関を標的としたセキュリティ事故の事例

近年、医療機関を標的としたランサムウェア攻撃やデータ漏洩事件が増加しており、患者の個人情報や診療データを守るための対策が急務となっています。

最近の事例を2つ紹介します。

1. 岡山県精神科医療センターの事例

2024年5月、岡山県精神科医療センターがランサムウェア攻撃を受け、最大約40,000人分の患者情報が流出する事態が発生しました。流出した情報には、患者の氏名、住所、生年月日、病名などが含まれていました。この事件では、VPN機器の脆弱性が攻撃の経路となった可能性が指摘されています。 

2. 徳島県つるぎ町立半田病院の事例

2021年10月、徳島県のつるぎ町立半田病院がランサムウェア攻撃を受けました。この攻撃により、病院の電子カルテシステムやバックアップデータが暗号化され、犯罪者集団「LockBit」から多額の身代金を要求されました。約2300台あるサーバーおよび端末の半数以上がランサムウェアに感染し、重要な電子カルテシステムが使用不能になりました。システム全体の復旧には73日間を要し、その間、医療サービスに大きな支障をきたしました。

ガイドラインでは、最新のセキュリティ技術の導入や、定期的なリスク評価の実施、インシデント対応計画の策定など、具体的な対策が詳細に記載されています。 

3．経営層の責任の明確化

今回の改訂では経営層の責任が明確化されました。これは、セキュリティ対策が単なる技術的な問題ではなく、組織全体で取り組むべき経営課題であるという認識に基づいています。経営層には、セキュリティポリシーの策定や必要な予算の確保、定期的な監査の実施など、組織全体のセキュリティガバナンスを確立する責任が求められています。 

4．クラウドサービスの利用に関する指針

さらに、クラウドサービスの利用に関する指針も新たに盛り込まれました。医療機関においても、コスト削減や業務効率化のためにクラウドサービスの利用が増加していますが、それに伴うセキュリティリスクも懸念されています。ガイドラインでは、クラウドサービス選定時の評価基準や、データの暗号化、アクセス制御など、クラウド環境特有のリスクに対応するための具体的な方策が示されています。 

クラウドサービスの選定と安全な利用には、多面的な評価と対策が必要です。まず、選定時の評価基準として、セキュリティ機能の充実度が重要です。暗号化やアクセス制御、監視機能などのセキュリティ対策が十分に整っているかを確認することが不可欠です。また、サービスプロバイダーの信頼性も重要な要素です。過去の実績やサポート体制を確認し、信頼できるパートナーを選ぶことが求められます。

データの保護においては、暗号化が極めて重要な役割を果たします。クラウドに保管または処理されるすべてのデータは、転送中および保存中の両方で暗号化することが推奨されます。具体的には、VPNやZTNA（ゼロトラスト ネットワークアクセス）ソリューション、リモートブラウザ分離などを使用して、データの転送中の暗号化を行います。また、AES-256やECC（楕円曲線暗号）などの強力な暗号化アルゴリズムを使用して、保存データを不正アクセスから保護します。

アクセス制御もクラウド環境のセキュリティを確保する上で重要です。ユーザーが必要な情報にのみアクセスできるように、権限を適切に設定することが求められます。多要素認証（MFA）の導入により、ログイン時のセキュリティをさらに強化できます。また、定期的にユーザーのアクセス権を見直し、不要なアカウントや権限を削除することも重要です。

クラウド環境特有のリスクに対応するためには、サービスの可用性や拡張性も考慮する必要があります。複数のデータセンターを利用してシステム全体を冗長化し、システムダウンの影響を受けにくい構成を選択することが望ましいです。また、将来的なビジネスの変化や需要の増大に対応できるよう、拡張性の高いサービスを選ぶことも重要です。

最後に、クラウドサービスの利用にあたっては、セキュリティポリシーの策定と従業員教育が欠かせません。定期的なトレーニングを通じて、セキュリティ意識を高めることが、クラウドセキュリティの強化につながります。これらの対策を総合的に実施することで、クラウド環境におけるデータ漏洩や不正アクセスのリスクを大幅に軽減し、安全かつ効率的なクラウドサービスの利用が可能となります。

5．小規模医療機関向けの特別ガイダンス

一方で、小規模医療機関向けの特別ガイダンスも提供されています。大規模病院とは異なり、専門的な IT 部門を持たない診療所や小規模病院では、高度なセキュリティ対策の実施が困難な場合があります。そこで、限られたリソースでも実施可能な基本的なセキュリティ対策（強力なパスワード管理、定期的なソフトウェア更新、バックアップの重要性など）や、専門的なIT部門を持たない医療機関でも実施できるスタッフ教育の方法、外部のIT専門家との効果的な連携方法などが詳細に解説されています。

特筆すべきは、このガイダンスが単なる技術的な指示にとどまらず、小規模医療機関の経営者や管理者向けに、サイバーセキュリティの重要性と、それが患者ケアや医療機関の信頼性にどのように影響するかについても説明していることです。これにより、セキュリティ対策への投資の必要性を理解し、組織全体でセキュリティ意識を高めることが促進されています。

さらに、このガイダンスは、小規模医療機関が段階的にセキュリティ対策を強化できるよう、優先順位をつけた実施計画の立て方も提案しています。これにより、限られたリソースを最大限に活用しながら、効果的にセキュリティレベルを向上させることが可能となっています。

このように、小規模医療機関向けの特別ガイダンスは、規模や予算に関わらず、すべての医療機関がサイバーセキュリティ対策を適切に実施できるよう、きめ細かなサポートを提供しています。これは、医療分野全体のサイバーセキュリティ強化に向けた重要な取り組みの一つとなっています。

6．保険医療機関・薬局におけるオンライン資格確認の導入が原則義務化

これらの改訂と並行して、2023年4月からは保険医療機関・薬局におけるオンライン資格確認の導入が原則義務化されました。これは、マイナンバーカードを活用して患者の保険資格を即時に確認するシステムですが、その導入に伴い、ネットワークセキュリティの確保が必須となります。オンライン資格確認システムは、患者の個人情報を扱う重要なインフラであり、そのセキュリティ対策は医療機関にとって避けて通れない課題となっています。

このオンライン資格確認の義務化は、医療機関のデジタル化を加速させる一方で、セキュリティリスクの増大も意味します。外部ネットワークとの接続が必要となるため、サイバー攻撃の標的となるリスクが高まります。そのため、厚生労働省は医療機関に対し、ガイドラインに沿った厳格なセキュリティ対策の実施を求めています。

具体的な対策として、まずファイアウォールの設置が挙げられます。ファイアウォールは、外部ネットワークからの不正アクセスを防ぐ重要な防御線となります。単純なパケットフィルタリングだけでなく、侵入防止システム（IPS）などと組み合わせて、より強固な防御を構築することが推奨されています。 

通信の暗号化も重要な要素です。オンライン資格確認システムでは、患者の個人情報や医療情報が扱われるため、これらのデータを暗号化して送受信することで、情報の盗聴や改ざんを防ぐことができます。特に、IPSecとIKEの適用が例示されており、これらの技術を用いて高度な暗号化を実現することが求められています。 アクセス制御の強化も不可欠です。オンライン資格確認システムへのアクセスは、正当な権限を持つ者のみに限定する必要があります。多要素認証の導入や、役割ベースのアクセス制御を実装することで、不正アクセスのリスクを大幅に軽減できます。

定期的なセキュリティ監査の実施も重要な要素です。これには、システムの脆弱性診断、ログ分析、アクセス権限の見直しなどが含まれます。特に、オンライン資格確認システムのセキュリティアセスメントに基づく対策例として、「外部ネットワークからのアクセス制限」や「セキュリティ要件の異なるネットワークの分離」が挙げられています。 

オンライン資格確認システムにおけるアクセス制御の強化は、患者の個人情報保護と医療システムの安全性確保のために極めて重要です。多要素認証の導入と役割ベースのアクセス制御（RBAC）の実装は、このセキュリティ強化の核心となる要素です。

多要素認証の導入においては、通常、知識情報（パスワードなど）、所持情報（ICカードやスマートフォンなど）、生体情報（指紋や顔認証など）の3つの要素から2つ以上を組み合わせて使用します。例えば、医療機関では既存のICカードシステムを活用し、ICカードと個人のパスワードを組み合わせた二要素認証を実装することが可能です。これにより、単純なパスワード認証よりも格段にセキュリティレベルを向上させることができます。

役割ベースのアクセス制御（RBAC）の実装では、医療機関内の各ユーザーの役割に基づいてアクセス権限を付与します。例えば、医師、看護師、事務職員などの役割ごとに、オンライン資格確認システム内の特定の情報や機能へのアクセス権限を設定します。これにより、各職員は自身の業務に必要な範囲内でのみシステムにアクセスすることができ、不必要な情報へのアクセスを防ぐことができます。

具体的な実装例として、医師には患者の詳細な医療情報へのアクセス権を付与し、看護師には基本的な患者情報と投薬情報へのアクセス権を与え、事務職員には保険資格情報のみへのアクセス権を制限するといった設定が可能です。このようなきめ細かいアクセス制御により、情報漏洩のリスクを最小限に抑えつつ、業務効率を維持することができます。 

さらに、アクセスログの記録と定期的な監査も重要です。誰がいつどの情報にアクセスしたかを詳細に記録し、定期的にこれらのログを分析することで、不正アクセスや異常な動作を早期に検知することができます。これは、セキュリティインシデントの予防と迅速な対応に不可欠な要素となります。

さらに、医療機関の職員に対する定期的なセキュリティ研修の実施も義務化されています。少なくとも年1回程度、専任の医療情報システム安全管理責任者による研修を行うことが求められており、これにより職員のセキュリティ意識を高め、人的要因によるセキュリティリスクを低減することができます。 

これらの新たな要件に対応するため、多くの医療機関では大規模なシステム更新や、セキュリティ専門家の雇用、従業員教育の強化などが必要となっています。特に小規模医療機関にとっては、技術的・財政的な負担が大きいことが課題となっており、政府による支援策も検討されています。 

7．まとめ

医療分野におけるデジタル化とセキュリティ強化は、患者サービスの向上と医療の質の改善に不可欠です。しかし同時に、それは医療機関に新たな責任と課題をもたらします。最新のガイドラインと法規制への対応は、短期的には負担となりますが、長期的には医療システム全体の信頼性と効率性を高めることにつながります。医療機関は、これらの変化を単なる規制対応としてではなく、組織の競争力を高め、患者により安全で質の高い医療を提供する機会として捉えることが重要です。