サイバーリスクに備えるには?
長 幸美
DX推進先日10月31日に大阪の病院でランサムウエア(身代金要求型ウイルス)のサイバー攻撃を受け、電子カルテシステムの障害が発生し、緊急以外の手術や外来診療等を停止する事態が発生しました。
それと同時に、サイバー攻撃を受けると、復旧までに長期間かかるうえに、その調査や復旧に多額の費用が掛かってしまいます。今やコンピューターやインターネットに依存している社会環境の中、サイバーリスクは深刻度がどんどん高まり、事業活動を脅かす新たな経営課題の一つと考えられています。
このような課題にどう対応していったらいいのか、専門家にお話を伺いました。
Q、サイバーリスクについて教えて下さい
(綾部)現在日本に向けてのサイバー攻撃は日に日に多くなっていて、いわゆるランサムウエアやそれ以外のウイルスなどは、1日に数万から数十万種類も作られています
このため、コンピューターやインターネットを使用する環境下では、常に何かの攻撃にさらされているという意識をもって、コンピューターや携帯(モバイル)等を扱うこと、対策を立てていくことが必要です。
また、サイバーリスクには、このランサムウエア等の外部からの攻撃だけではなく、組織内部で起こる場合もあります。例えば、情報機器の盗難や紛失、メールの誤送信や組織内部の人間が個人情報や企業秘密を社外に不正に持ち出す等の行為による情報漏洩です。
(弓削)数万から数十万種類ものウイルスとは、想像もつかない数ですね。常に、何らかの攻撃を受けていると考えてよいのでしょうか?
(綾部)まず、私たちができることは、OSやセキュリティシステムを最新の状態にしておくということです。携帯電話でも、時々、「ソフトウエアのアップデート」を行うようにメッセージが来ると思います。同様に、マイクロソフトやパソコンのシステムも最新の状態にしておく必要があります。古いバージョンを使用しているとそれだけ脆弱性があり、そこからウイルスに感染してしまうリスクが高まることが考えられます。
(弓削)大阪の事例はどうだったのでしょうか?わかる範囲で教えてください。
(綾部)今回の大阪の事例は、院内でしっかりと対策が取られ、アップデートが行われていた状況です。関連会社からのインターネットのVPNをつないで作業を行う環境から感染した。と考えられています。
(弓削)なるほど、怖いですね・・・。ある程度自社で対策していると思っていても、関連会社を経由して感染することを考えると、100%防いでいくことはできないということでしょうか?
(綾部)そうですね。自社だけ守っていれば100%安全だという時代ではない、ということですね。
しかも、困ったことに、復旧や調査には時間も人員もかかるため、多額の費用が掛かってしまいます。
昨年の事例ですが、徳島県で起こったランサムウエア感染によるケースでは、8万5千人分の電子カルテが閲覧できなくなり、外来患者の新規受け入れを全面的に停止した事件がありました。この時は、新システムに切り替え、ゼロからカルテを再構築して通常診療を再開されたようですが、期間が約2か月、費用や約2億円かかったといわれています。
(弓削)2か月で2億円ですか! 期間もですが、多額な費用が掛かることになるのですね。このように医療機関の皆様がいつこのような災害が降りかかるかわからないことを考えると、我々にできる他のご支援を考えていくことが必要になるでしょう。
その一つとして、サイバーセキュリティ保険というものがあります。
Q、サイバーセキュリティ保険というものはどのようなものでしょうか?
(弓削)サイバーセキュリティ保険は、次の三つの補償により、事業活動を取り巻くサイバーリスクを包括的に補償するものです。
1) 損害賠償責任に関する補償
2) サイバーセキュリティ事故対応費用に関する補償
3) コンピュータシステム中断に関する補償
例えば、「サイバー攻撃を受けている恐れがある」ということが分かった場合、「サイバー攻撃なのかどうか、どのような内容であるか」、など、外部調査が必要になり、依頼します。
被害状況を確認するためにも調査が必要になります。早期の段階でしっかりと調査を行うことで、被害が広がっていくことを防止することも期待できます。
また、サイバー攻撃が確定した場合、事業活動を早期に再開するために、データ復旧やコンピュータシステム復旧についても時間と費用が掛かってきます。そして、再発防止のための情報セキュリティ体制の整備等なども費用をかけ対策する必要が出てきます。こういった場合の費用面の補償を考えておく必要も有効だと考えています。
(綾部)確かに調査するにも、その後対策を立てるにしても、費用が掛かってきます。このため、このような保険は有効な手立てだと考えます。
Q、その他に注意事項などありますか?
(弓削)実は、令和4年4月に個人情報保護法の改正が施行されています。
この改正では、個人情報漏洩が起こった場合、報告が義務化され、罰金刑の引き上げが行われました。罰金刑は最高1億円も科される可能性が出てきました。
報告については、3~5日以内に「速報」をだし、調査を行い、確定したら「確報」が必要になります。報告書は個人情報保護委員会の中にある報告書を使用して報告をするのですが、かなり細かな報告が必要となり、相当の労力がかかることになります。
Q、サイバーセキュリティ保険は、その費用をカバーしてくれる保険ということですね?
(弓削)もちろん、サイバー攻撃を受けないことが一番良いのですが、どんなに対策をしていても、サイバーリスクを完全になくすことは難しいという現状を考えると、とても大事になるのではないかと考えています。
さて、皆様、如何だったでしょうか?
以前、オンライン資格確認の導入に際し、常時インターネットに接続している状況になるため、ICT活用推進課の室長に話をお聞きしたことがありますが、医療機関として考えられる対応・・・例えば、システムのアップデートを確実に行うことや、誤送信をなくすよう確認するなどを励行するようにしましょう。
そして、日々進化していくウイルス等に対して、情報セキュリティ対策は万全ではないということを意識して、対策や補償についても考えていく必要があるなと思いました。
皆さま方もぜひご検討されてみませんか?お気軽にご連絡いただければと思います。
経営コンサルティング部 部長 弓削貴裕
ICT活用推進課 マネジャー 綾部一雄
(聞き手)医業コンサル課 長 幸美
著者紹介
- 医業経営コンサルティング部 医業コンサル課 シニアコンサルタント
最新の投稿
- 2024年11月5日医療介護あれこれQ&Aより~医師国保がいい?それとも協会けんぽ?~
- 2024年10月21日クリニックのための接遇接遇レッスン~ユマニチュード導入のSTEP~
- 2024年10月18日医療系事務職員応援隊介護保険3施設~特養・老健・介護医療院どう違うの?
- 2024年10月14日医療介護あれこれ接遇レッスン~ユマニチュードと接遇を考える~