近年サイバー攻撃は企業規模を問わず発生しており、機密情報を持つ官公庁や大企業だけでなく、対策が充分でない病院や医療機関にまで攻撃の標的が広がっています。
サイバー攻撃を受けると、院内医療システムの停止により診療がストップするだけでなく、個人情報の漏えい等に発展する恐れがあります。
本記事では、医療機関で発生したサイバー攻撃の事例や、攻撃を受けたことによる損害の事例を解説していきます。
医療情報は高値で取引される
2017年頃、身代金要求型のコンピュータウイルスである「ランサムウェア」が流行したことは記憶に新しいですが、2020年頃より新型コロナウイルス感染症の流行に乗じ、改めて医療機関がランサムウェアによる攻撃の標的になるケースが急増しています。サイバー犯罪者が医療機関を狙う理由は、以下のような医療情報です。
・血液型
・身長や体重
・アレルギー
・既往歴
・カルテ内容など
上記のようなセンシティブな医療情報は高値で取り引きされるため、医療情報の漏えいを目的としたサイバー攻撃が増え、医療提供体制に影響が起きてしまった事例も多く発生しています。
病院におけるセキュリティリスクとは?
厚生労働省が昨年「医療機関等におけるサイバーセキュリティ対策の強化について」という注意喚起を行ったことは記憶に新しいと思います。医療機関は情報技術の進展により多くの情報システムが導⼊されているほか、院外ネットワークとの接続も⾏っています。また新型コロナウイルス感染症の影響から、オンライン予約やオンライン受診といった新しいシステムも増えており、このような状況のなかで院内における情報セキュリティ対策が不⼗分な場合、さまざまなセキュリティリスクの脅威にさらされている可能性があります。
具体的なセキュリティリスクとして、以下のようなものが懸念されます。
厚生労働省「医療機関を取り巻く情報セキュリティ対策の現状」より引用
外部からの攻撃
ランサムウェアと呼ばれるマルウェア「WannaCry」が代表的です。WannaCryに感染してしまうと端末本体がロックされるだけでなく、端末に保存されているカルテ情報などが暗号化されて使用できなくなります。
暗号化されたカルテ情報などを元に戻すためには身代金が必要となり、「要求に従わない場合は情報を流出させる」と脅迫されることも。またWannaCryは、感染した業務端末から拡散する性質を持っているため、他の業務端末に感染が拡⼤する恐れがあります。
▼ランサムウェアについての詳しくは、こちらの記事をご覧ください。
ランサムウェアとは?感染経路や被害事例から対策を解説
外部事業者等によるミスや不正
院内のシステムは一般的にクローズドなネットワークで運用されます。しかし外部事業者等によるミスや不正があった場合は、外部のクラウドサービスやシステム事業者の接続回線などから、院内システムに侵入されてしまう可能性があります。侵入されてしまった場合は情報の窃取や漏えい、破壊などの横断的侵害⾏為などの被害が予想されます。
職員によるミス
病院におけるセキュリティリスクには、外部要因だけでなく内部要因にも注意が必要です。職員によるシステムの操作ミスのほか、USB機器やパソコン、スマホ・タブレットといった情報端末の紛失による情報漏えいも発生しています。
内部不正
職員による意図的な不正が行われているケースもあります。業務とは関係のない患者データの参照や、機密情報・個⼈情報などの持ち出しが考えられ、情報漏えいに発展するリスクがあります。
前述したとおり、医療機関の情報化に伴う業務環境の変化に対して⼗分な対策がとれていないことや、攻撃者の⼿法の進歩により、情報セキュリティインシデント(サイバー事故)は急増しています。
情報セキュリティ対策は、情報システム部⾨の課題だけではなく、病院や医療機関の事業継続や存続に影響する経営課題に直結しています。
厚生労働省は2022年5月に「医療情報システムの安全管理に関するガイドライン 第6.0版」を策定し、その中で医療等分野及び医療情報システムに対するサイバー攻撃の一層の多様化・巧妙化が進み、医療機関等における診療業務等に大きな影響が生じていること等を踏まえ、医療機関等に求められる安全管理措置を中心に内容の見直しを行ったとしています。
特に、クラウドサービスの特徴を踏まえたリスクや対策の考え方を整理する「外部委託、外部サービスの利用に関する整理」や、ゼロトラスト思考(※)を踏まえた「情報セキュリティに関する考え方の整理」、サイバー攻撃を含む非常時に対する具体的な対応についても整理されています。
※「ゼロトラスト思考」とは
「何も信頼しない」を前提に対策を講じるセキュリティの考え方のこと。社内は安全と捉えていた従来のセキュリティとは異なり、社内ネットワークや社員からのアクセスも含めて安全性を検証するのが特徴です。
本ガイドラインでは、安全管理対策の実施を「コスト」と捉えるのではなく、質の高い医療の提供に不可欠な「投資」と捉え、その実施に必要となる資源(予算・人材等)の確保に努めることも重要と指導されているため、医療機関の経営者はぜひご一読ください。
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」
病院で発生したサイバー攻撃の事例とは
ここからは実際に日本の医療機関で発生したサイバー攻撃の事例を見ていきましょう。1. 【ランサムウェア感染】奈良県市立病院の事例
医療情報システムの中核である電子カルテシステムがランサムウェア(GandCrab)に感染し、システムが使用できなくなる事案が発生。システムデータが暗号化されバックアップが正しく行われていなかったことから、電子カルテシステムを全面停止したとしています。このウイルスにより感染したファイルは暗号化され、参照不可に。ファイルの暗号化により一部の患者カルテの情報が参照できなくなり、医療情報システム全体に影響が及んだため、システム停止期間中は、紙カルテを使用し診療を継続と発表されました。被害範囲は広く下記まで広がりました。
• 電子カルテを含む診療部門サーバー4台
• 診療部門端末2台
• ウイルス対策サーバー1台
• 看護部門サーバー1台
2.【マルウェア感染】都内医療センターの事例
職員の職務用パソコン端末内のメールボックスが不正アクセスを受け、メールボックス内の情報の一部が流出する事案が発生。情報漏えいの原因はマルウェアウイルス(Emotet)に感染したことにあるとしており、職務用パソコン端末へ送信されたメールの添付ファイルを職員が開封してしまったことが原因。
流出した情報はウイルスにより暗号化されていたため、特定することができず。
3. 【ランサムウェア感染】福島県立病院の事例
コンピュータウイルスの影響により、患者のCT写真を再撮影する事例が発生。この病院ではウイルス感染が原因とみられる検査機器の不具合が、複数の部署で以前にも発生していたとのこと。後日、検査機器の不具合の原因はランサムウェア(WannaCry)感染であることが判明。 また院内調査を行った結果、当時の担当部署が作成したインシデントレポートの中に、コンピュータウイルスが関連すると思われるものが11件あり、このうち放射線撮影装置において再撮影に至った事案が2件あったとも発表された。
なおこの病院の院内ネットワークはインターネットと切り離された環境にあったことから、ランサムウェアに感染していた端末を、院内ネットワークに接続したことが感染の原因であると推定しているとのこと。
医療機関がサイバー攻撃に遭った場合
もし医療機関に情報セキュリティインシデント(サイバー事故)が起きた場合、院内システムが悪意のあるマルウェア等に感染してしまうケース、院内システムへの不正アクセス、ネットワークが遮断されてしまう事故等が考えられます。例えば上記事例の奈良の病院のように電子カルテシステムがランサムウェア感染し、システムが使用できなくなると医療の提供へ被害が及び、患者の生命・身体に影響を与える可能性が生じます。
また、マルウェアやランサムウェアの場合、サイバー攻撃の被害が一医療機関等内で止まることなく、サイバー攻撃を受けた医療機関を踏み台にし他の医療機関等にも被害が拡大する危険性もあります。
安全管理上のリスクに対する対応の是非、さらには経営責任や法的責任が問われる可能性も発生します。
その結果、行政処分の対象となったり、民事上の賠償責任などを負ったりする可能性があるほか、医療機関等の公共社会インフラとしての役割からの謝罪を求められたり、インシデントによる被害拡大の防止を図るための初動対応やインシデントからの復旧に多大な費用の捻出を余儀なくされるなど、医療機関等の経営や運営に大きな影響を及ぼすことも想定されます。
サイバー攻撃により想定される病院の費用損害
総務省の情報通信白書によると、サイバーセキュリティによる経済的損失は1社当たり数億円の損失が生じるものと算出されています。出典:総務省(2019)「令和元年版情報通信白書」また、トレンドマイクロの民間企業、官公庁及び自治体を対象に実施した調査においても、調査対象となった組織全体での年間平均被害総額は約2.4億円となり、4年連続で2億円を超えています。 出典:総務省(2019)「令和元年版情報通信白書」のトレンドマイクロ(2019)「法人組織におけるセキュリティ実態調査2019年版」を基に作成より
ここで、どうしてそこまで被害額がそこまで膨れ上がるのかをご説明します。
1台300万円のフォレンジック調査、復旧費用
サイバー事故が発生した場合、まずは初動対応としてネットワークの遮断や証拠保全を速やかに行い、今後の対応方針を決定する観点からインシデントの内容を分析・調査する必要があります。特にサイバー攻撃の場合は「フォレンジック調査」という専門的な調査を行うことになります。
フォレンジック調査とは、攻撃にあったパソコンやサーバ、スマートフォン等の端末のデジタルデータ収集や分析・解析し、どんな経路でどのように被害にあっているのかといった犯罪の証拠を特定したり、すでに破壊・消去されてしまっているデータから不正アクセスのログファイルなどを見つけ出すことによってインシデントを解明していく調査です。
JNSAの報告によると、フォレンジック調査の対象端末がPCとサーバー数台であれば300~400万円の費用程度で済みますが、ランサムウェアやマルウェアの感染が拡大してしまった場合は、調査端末増加しネットワーク内の挙動の調査も必要となるため、その費用は数千万円に及ぶ 場合もあるようです。
これは調査だけの費用ですので、システムが何かしらのダメージを負った場合はシステム復旧費用も必要となります。
出典:2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編
膨れ上がる対応費用
万が一に患者のカルテ等の個人情報が漏洩してしまった場合は、お詫び文等のDM発送費用・電話受付対応費用・新聞広告掲載等が必要となりまし、インシデントの収束に向けて再発防止策費用も必要です。個人情報漏えいが訴訟へ発展した場合には、法律相談費用・弁護士費用・損害賠償費用が必要となってきます。
医療機関の事業を破綻させかねないほど経済的な損失が大きいということがご理解いただけますでしょうか。
これらの損害額を引き受けてくれるのがサイバー保険なのです。
医療機関がサイバー保険に加入することで備えられる補償とは
サイバー保険を検討・選択する際は、損害賠償以外に前述の調査費用も補償に含まれているかなども確認することが大切です。サイバー攻撃への対策として備えられる補償には、以下のものがあります。• 事故対応にかかる費用
• 事故原因調査費用
• 事故の再発防止策定費用
• システムの復旧作業費用
• 被害者への見舞金の支払い
• コールセンターの設置費用
• 弁護士・コンサルティング会社への相談費用
• 医療機器の停止による利益損害費用
• イメージ回復に伴う広告宣伝費
• 損害賠償責任に伴う費用
• 損害賠償費用
• 訴訟費用
医療機関では上記のような補償を備えることにより、サイバー攻撃を受けた場合の事後対策が可能となります。ただし保険会社により補償内容が異なる場合もあるため、詳細は当社までお問い合わせください。
まとめ
本記事では、日本の医療機関で実際に起きたサイバー攻撃や個人情報漏えい事故の事例について解説してきました。個人情報が漏えいしてしまった場合は、フォレンジック調査費用や損害賠償に伴う多額の費用が発生します。サイバー攻撃を防ぐためのセキュリティ対策はもちろん必要ですが、個人情報が流出してしまった場合の事後対策についても備えておきたいところです。サイバー保険では、サイバー攻撃を受けた場合の補償を準備することができます。
当サイトの運営会社ファーストプレイスでは、病院・クリニック・総合病院・大学病院・研究室など、医療機関の種類も多くお付き合いさせていただいています。
ファーストプレイスでは、下記5社のサイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較が可能です。
【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社
ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。
