医療機関に対するサイバー攻撃とサイバーセキュリティ対策

2021.12.13

サイバー攻撃の現況

新型コロナウイルスの感染拡大に便乗したサイバー攻撃が世界各国で急増しています。情報通信研究機構（NICT）の調査によると2015年から20年にかけてサイバー攻撃は8.5倍に増えました。

テレワーカーの増加に伴った自宅のPCや、外部の無料Wi-Fiルーターからの被害が拡大するリスクも高まっていると言われています。

サイバー攻撃の脅威およびその対策の必要性については、様々な情報媒体からの発信により、経営課題の一つであるという認識が高まっているように感じます。とはいえ、ウイルスやハッキングによるサイバー攻撃などのインシデントが発生した際に、どのような損害（金銭的被害、損害賠償請求、事業中断による利益の逸失）が生じるかを明確に想定することは難しいと思います。

本レポートでは、インシデントが発生した際にはどのような損害が生じるか、またその損害額および、それらに備えるためにどのような手立てがあるかをお伝えします。

インシデントの定義と発生時の対応

セキュリティインシデントとはセキュリティ上脅威となる事象を指します。例えば、

マルウェアの感染
不正アクセス
機器の故障
電子メール、FAX、郵便物の誤送信、誤発送などの機密情報流出
PCの紛失

などがあります。

セキュリティ対策の目的はこのようなインシデントが発生した際に、経営への影響を最小化することです。インシデントが発生した際、どのように被害を抑えていくか、どう復旧、回復を図るかといった対応が必要になります。

例えば私どもは、インシデント発生時には以下のような対応手順を定めています。

（１）初動報告
情報セキュリティ事故が発生した場合は、当該発生事案を掌握し、所属長・情報オーナー・情報セキュリティ担当・事業部長・管掌役員・総務部・情報システム部・ICT 推進部、および、その他必要な方へ、夜間や休日を問わず、速やかに行う。

（２）事故発生報告
電子申請(ワークフロー)にて事故発生日の翌日中に情報セキュリティ事故発生報告を行う。

（３）代表報告
情報セキュリティ事故の影響が、当法人の経営に重大な影響を与える可能性がある時、管掌役員は関連する会社の代表に速やかに報告を行う。

（４）調査
管掌役員は情報セキュリティ担当他、必要なメンバーを選定し、逸失情報資産の洗出し、影響度の判定、関係先対応、真因の調査を行った上で、再発防止策を策定し、実施する。

（５）事故報告書提出
電子申請(ワークフロー)にて事故発生日から1週間以内に、会社の代表のもとに事故報告書が届くようにする。

（６）損害費用検討
故意、または、重大な過失により、情報セキュリティ事故が発生した際は、対応に係る費用や損害費用の一部を自己負担させる場合がある。判断は管掌役員と代表が行う。

（７）見届けと監査
管掌役員は、再発防止策の効果を見届ける。再発防止策は、定期監査によって確認される。

様々な対策を行い、インシデントの発生自体を抑える手立てはとりますが、100％無くすことは出来ません。そのために上記のような手順を予め準備しておき、社内へ周知徹底することが重要なのです。

インシデント発生時において生じる損害

インシデント発生時には前述したような対応を取りますが、その過程における損害は相当のコストとなることがあります。

まず、頭に浮かぶものは費用損害です。事故発生時に生じる「事故の調査」から「解決・再発防止」の諸費用がかかります。また情報漏洩、サイバー攻撃などの発生に起因して他人に損害を与えた場合の損害賠償・訴訟費用なども考えられます。そしてそれらに起因したネットワークの中断等による逸失利益や営業継続のための費用なども考慮しておくべきでしょう。

あるインシデントレスポンスを提供している業者へのヒアリングによると、PCとサーバー数台程度の調査であれば、初動対応およびフォレンジック調査を合わせ、概ね300～400万程度の金額が必要になります。しかし、マルウェア感染の範囲が拡大した場合などは数千万円～に及ぶ可能性もあります。

インシデントによって、顧客の個人情報の漏洩等が発生した場合、様々な問い合わせに対応するため、コールセンターを設置する必要があります。コールセンターの設置費用には初期費用と運用費用があり、概ね1席1か月で120～200万の金額が必要となります。

また、インシデントが発生した際、法律面に考慮した対応を取るための弁護士費用や再発防止案策定のためのコンサルティング料、ハードウェアの復旧費用など考えられる費用は様々あります。

医療分野のサイバー攻撃

一般的にサイバー攻撃のリスクは、「攻撃の容易性」と「攻撃対象の価値」で評価します。サイバーセキュリティ対策の不十分さにより攻撃が容易で、かつ攻撃対象となる資産の価値が高い場合、攻撃者から狙われやすいと言えます。

攻撃の容易性

医療機関に対してのサイバー攻撃は容易か考えていきましょう。医療機関では近年ICT化が促進され、ネットワークに接続可能な医療機器が増加しています。IoT機器やモバイル端末の利用が進んでいるということは攻撃者にとって標的が増加していることにつながります。

医療機器の管理は手動で実施されていることが多く、手動による危機管理は人手と時間を要することから、サイバーセキュリティ対策を含めた管理が全体に行き届かず、結果的に、脆弱な機器や管理者が把握していない機器がネットワークに多数繋がってしまう状態となります。また、従来単体での利用を想定した医療機器は、ネットワークに接続することを前提としたセキュリティ機能が備わっていない場合が多く、これも攻撃者からの標的となりやすい要因となっています。さらに、医療機関ではサイバーセキュリティ教育が十分に実施されている状況とは言い難く、これも攻撃者の標的となる可能性を押し上げます。

攻撃対象の価値

次に、医療機関が持つ情報（資産）の価値について考えてみます。医療機関で取り扱われている患者情報の価値は非常に高く、ダークウェブ上ではクレジットカード情報の10～20倍で取引されていると言われています。記憶に新しい医療機関に対するランサムウェア攻撃も医療機関に対するサイバー攻撃の特長です。サイバー攻撃によって医療機器が停止すると、患者の安全に直接的な影響を与えかねません。

攻撃の容易性、攻撃対象の価値、更にサイバー攻撃が直接命の安全に影響を与えるという3点から、医療機関へのサイバー攻撃がさらに増加する可能性は十分に考えられます。

医療情報システムの安全管理に関するガイドライン

厚生労働省は、令和3年1月に「医療情報システムの安全管理に関するガイドライン」第5.1版を策定しました。平成17年3月に「民間事業者等が行う書面の保存等における情報通信技術の利用に関する法律等の施行等について」の別添として示され、その後改定が行われています。

平成29年5月にガイドライン第5版が策定されましたが、近年のサイバー攻撃の手法の多様化・巧妙化、情報セキュリティに関するガイドラインの整備、地域医療連携や医療介護連携等の推進、クラウドサービス等の普及等に伴い、医療機関等を対象とするセキュリティリスクが顕在化していることへの対応として、情報セキュリティの観点から医療機関等が遵守すべき事項等の規定を設けるなど所要の改定を行い、「医療情報システムの安全管理に関するガイドライン第5.1版」を策定しています。

主な改定のポイントとして