第11回は今年(令和6年)2月〜3月にかけて実施された「医療機関のサイバーセキュリティ対策に係る調査の結果」についての投稿となります。
厚生労働省が「医療情報システムの安全管理に関するガイドライン第6.0版」(以下「ガイドライン」)や、「医療機関におけるサイバーセキュリティ対策チェックリスト」(以下「チェックリスト」)を発表したのは昨年の調査(令和5年1月〜3月実施)以降となりますので今回の調査でどれだけの医療機関が「ガイドライン」と「チェックリスト」に沿った対策を講じているのか、結果内容が気になるところです。調査結果を理解することは、医療機関が直面するサイバーセキュリティの現状を把握し、今後の対策を考えるために重要なステップとなります。
調査の概要と対象
この調査はサイバーセキュリティ対策の実態を把握するため、全国の8171の医療機関に対して行われ、そのうち5,353施設(回答率65.5%)から有効な回答が得られました。昨年同様、病床数は6つに区分され(20〜99床、100〜199床、200〜299床、300〜399床、400〜499床、500床以上)、医療情報システム安全管理責任者の設置状況、、情報管理体制、サイバー攻撃時の連絡体制、電子カルテシステムのバックアップ状況などに関する実態を調査しています。
【体制の構築】
調査によると、医療情報システム安全管理責任者を設置している医療機関の割合は、昨年から13%増えて86%となり、全ての病床数区分において増加していることが分かりました。特に20〜99床の病院は昨年から20%伸びて81%となり、100〜199床の施設は13%伸びて86%となりました。300床以上の病院では、安全管理責任者の設置率が90%以上と非常に高い水準にあります。
【医療情報システムの管理・運用】
「(製造業者サービス事業者による)医療情報セキュリティ開示書」(MDS/SDS)を用いた点検の実施率は、病床数が多い病院ほど高いものの、全体平均は55%にとどまっています。「医療情報セキュリティ開示書」は医療情報システムの製造業者やITサービス事業者が医療機関に対して提供するもので一般社団法人保険医療福祉情報システム工業会(JAHIS)と一般社団法人日本画像医療システム工業会(JIRA)が定めた標準的書式を用いて作成されます。
【インシデント発生に備えた対応】
サイバー攻撃が発生した際の連絡先(IT保守ベンダーや所管官庁等)を把握している医療機関の割合は平均で昨年から9%増加し94%となりました。またサイバーセキュリティに関する相談先については、全体の69%がITベンダー等の事業者を相談先として指定していますが自施設にて相談出来る人員を置いているケースも見受けられます。
電子カルテシステムを利用している医療機関は昨年同様、病床数が多い病院ほど利用率が高く、医療機関全体では平均70%という結果となりました。しかし、20〜99床の医療機関での導入の割合は57%となり、昨年から変化が見られません。また電子カルテを導入している施設においてバックアップデータを毎日作成している割合は全体の90%以上に達し、ほぼ全ての医療機関で基本的なバックアップ体制が整備されていることがわかりました。ただし、バックアップデータをオフラインで保管している施設は全体の52%となり(昨年は49%)依然として低めの結果となりました。
サイバー攻撃によるシステム障害時に備えたBCP(事業継続計画)の策定状況は、20〜99床が昨年から11%伸び25%となりましたが全体平均は27%と依然として低く(昨年は23%)、策定が進んでいません。さらに、BCP対策手順が機能するかどうかを確認する訓練を行っている医療機関の割合も昨年と変わらず34%と低いままになっています。
今後の課題と取り組み
以上の調査結果を見ると、「ガイドライン」や「チェックリスト」が発表されたことにより、昨年と比べると医療機関等におけるセキュリティ対策導入で一定の成果を上げていることが確認できました。特に20〜99床の医療機関においてはいくつかの項目でセキュリティ対策が強化されました(これらの項目は令和5年度以内に取り組むよう「チェックリスト」にも示されています)。とはいえ全体的に改善の余地がある点もいくつか浮き彫りになっています。特にインシデント発生時を想定した対策(オフラインでのデータバックアップやBCPの策定・演習など)を強化する必要があります。
医療機関にとって「ガイドライン」や「チェックリスト」に基づく定期的なセキュリティ対策の見直しは不可欠となります。更にITサービス事業者との連携を強化し、最新の技術と情報を活用したセキュリティ対策を導入することが求められています。
医療の現場で個人情報漏えいが起きると患者様との信頼関係が大きく損なわれます。そのソリューションとして弊社の「人工知能」(Ai)機能が医療事業の運営、情報漏えい防止対策ツールとしてお手伝いできる事が可能となります。弊社のプライバシーマネージャーは既存の医療情報システムへシームレスな連携が可能となっています。さらに、システム上のデータに対するアクセスを高度に分析することにより、堅実なセキュリティと高い信頼性を確保することができます。お問い合わせはこちら。
最後までお読み頂きありがとうございました。
**こちらのブログは個人的な予測や見解を含んでおります。公式な情報は随時変更・追加されますので最新情報については関係省庁のHP等でご確認ください。
Comments