メール
メニュー

病院情報セキュリティ|セキュリティ対策は何から始めるか

2020.03.16

セキュリティ対策は何から始めるか

前回のセキュリティコラムでお届けした、添付ファイルやURL付きのメールで感染するコンピュータウイルス「Emotet」が、2019年秋以来、いまだ終息せず拡大が続いています。年末には賞与メールを装い、今年に入ってからは新型コロナウイルスに関する感染予防の案内を装うなど、実際に送られてきそうなタイトルでクリックを狙っています。

さて、このような状況の中でセキュリティ対策を改めて見直しをする必要を感じているお客様もいらっしゃるかと思います。ですが、何から手を付けていけば良いか悩まれてはいないでしょうか?

今回は、そのようなお悩みをお持ちのお客様がどのようにセキュリティ対策の見直しを進めていけば良いかのポイントを、事例を交えてご紹介します。



医療情報システムの安全管理に関するガイドライン 第五版

まず何から手を付けるかの前に、何をしなくてはいけないのかを整理する必要があります。その指針は厚生労働省により「医療情報システムの安全管理に関するガイドライン」*1に策定されていますので、これに準じて対応を進めていく必要があります。現在の最新版は第5版となっており、平成29年5月に全面施行された「改正個人情報保護法」やサイバー攻撃の多様化・巧妙化に対応したものとなっています。

こちらには医療機関の責任者、情報システム管理者が法律などの制度上の要求を最低限満たすために必ず実施しなければならない事項が記載されています。しかし、このガイドラインは150ページほどの量があることから全体を把握するのはなかなか困難だと思います。これに対し厚生労働省はポイントを整理し読みやすくした管理者向けの読本*2を公開していますので、こちらを併せてご覧頂くと良いかと思います。



ガイドラインにおけるポイント

ガイドラインの中では安全管理対策を「組織的」「物理的」「技術的」「人的」の4つに分けています。


「組織的安全管理対策」

安全管理における従業者の責任と権限を定めて安全管理に対する規定や手順書を整備・運用しその実施状況を確認すること


「物理的安全管理対策」

 入退館の管理や個人データの盗難や紛失等の防止措置


「技術的安全管理対策」

 個人データや医療情報システムへのアクセス制御、不正ソフトウェア対策等の技術的な安全管理措置


「人的安全管理対策」

 従業者による情報の盗難や不正行為、不正利用等の誤りの防止を目的とした対策



これら4つの対策のそれぞれに必須事項と推奨事項がありますのでまずは必須事項に対応する必要があります。

とはいえ、自院がどこまでこの項目に対応できているか、調査し可視化できているお客様は多くはないのではないでしょうか。

まずは現状の可視化を行うことが重要であり、最初に行うべき作業と言えるでしょう。



現状の可視化

ガイドラインに対して適合しているかどうかのチェックにはお客様ご自身で行う方法もあれば、弊社のような外部の専門家が実施するサービスもあります。

まずは現状の可視化をしてみたいというお客様はメーカー各社などからもチェックリストが公表されていますが、一般社団法人医療情報安全管理監査人協会が公表している「医療情報システムの安全管理に関するGL適合性チェックリスト」*3をお勧めします。こちらはガイドラインに準拠しており、ガイドラインの必須項目と推奨項目が分かるようになっています。


一方で外部のサービスですが、例えば弊社ではお客様のITリスクを現状把握するための「見える化サービス」を取り揃えています。こちらはシステム全体からリスクポイントに合わせたサービスまでを網羅していますが、その中でも数多くの実績がある「セキュリティドクター診断サービス」は、お客様のシステム全般に対して弊社のSEが訪問しヒアリングを実施し、優先順位を付けて対策内容をご説明させていただくものです。

ご自身で行った場合に掛かる、各メーカーへの問い合わせや見積もりの取得、選定といった手間を減らすことができますし、予算状況に合わせた段階的なセキュリティ強化の提案を受けられることが、大きなメリットです。



お客様事例

【お客様概要】

病床数約250の総合病院


【お客様の課題】

・個人情報保護対策

・標的型攻撃対策を行いたいが、何から行えばよいか悩んでいる

・職員のITリテラシー向上


【弊社からのご提案】

現在のリスクを明らかにしてから、優先順位に合わせて段階的に対策を実施する。


【ご提案サービス・ソリューション】

・セキュリティドクター診断

・次世代エンドポイントセキュリティ製品への入替

・職員向け情報セキュリティ教育と標的型メール訓練


※ポイント※
ご担当者様は情報系と医療情報システムのネットワークを物理的に分離している為にセキュリティ強化は情報系セグメントのメールセキュリティが優先と考えられていました。しかし、診断を実施後に弊社が最優先でご提案を行ったのはエンドポイントセキュリティでした。


【ご提案理由】

・既存のエンドポイントセキュリティでは昨今のマルウェアを防げない。

・医療情報系のシステムはセキュリティパッチが更新されていない

・頻繁に情報系と医療情報システム系で可搬媒体によるデータ交換を行っている。

・標的型メールが巧妙なため職員が誤って感染してしまう可能性が高い。

・職員に対する情報セキュリティ教育が未実施かつ、情報セキュリティに関する知識レベルが把握できていない。


近年のサイバー攻撃は巧妙かつ進化し続けており多層防御を施したところで100%侵入を防ぐことは不可能だといわれております。よって、侵入を前提とした対策が必要となっており、その最後の砦がエンドポイントセキュリティなのです。こちらのお客様はその他にも職員向けの情報セキュリティ教育や標的型メール訓練を同時に進めており「組織的」「技術的」「人的」安全管理対策を行うことでセキュリティ水準を高めることに成功しました。



まとめ

今回のコラムはいかがでしたでしょうか?

「医療情報システムの安全管理に関するガイドライン」に法制的な強制力はありませんが、対外的に取り組み状況を説明するうえで非常に重要な位置づけになっております。

ガイドラインに準じてセキュリティ水準を上げていく対応は重要であり、経営層、システム担当者、職員の全員がリスクを理解した上で管理対策を継続的に維持運用し、環境変化に応じたPDCAサイクルを実施していく必要があります。





JBCCでは今回のテーマに関して、以下のセキュリティサービスでお客様の運用をご支援しています。

セキュリティドクター診断サービス

https://www.jbcc.co.jp/products/operate/security/securitydoctor/post_5.html

標的型メール訓練サービス

https://www.jbcc.co.jp/products/operate/security/mail_atk_training/


<参考>

新型コロナウイルス題材の攻撃メール感染を防ごう、IPAが改めて注意喚起

https://www.ipa.go.jp/security/announce/20191202.html#L12


*1 医療情報システムの安全管理に関するガイドライン 第5版

厚生労働省

https://www.mhlw.go.jp/file/05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou/0000166260.pdf


*2 医療情報システムの安全管理に関するガイドライン 全ての医療機関等の管理者向け読本

厚生労働省

https://www.mhlw.go.jp/file/05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou/0000166270.pdf


*3 「医療情報システムの安全管理に関するGL適合性チェックリスト」

一般社団法人医療情報安全管理監査人協会

http://www.imisca.jp/index.php?checklist5.0

お問い合わせはこちらから矢印