2020/12/24

医療機関で「IT関連のセキュリティ対策」が進まない背景

何故、医療機関はセキュリティ対策が上手く進まないのか?それは、医療機関の内部状況に問題があると言われています。職員の配置、コスト面等の職員不足や防犯対策に関しての予算を決めておらず、予算自体が少ないか無いと言った事が原因とも言われているのです。これでは職員や患者の安全も守れずに、病院自体に問題があることに繋がって行きます。
そこで、何故病院はセキュリティ対策が進まない具体的な理由と原因、そしてサイバー攻撃が起こる原因を紹介して行きたいと思います。

何故、医療機関ではセキュリティ対策が進まないのか?

•コストの問題

セキュリティ対策は医療機関では無くても当然お金がかかるものです。
パソコンや医療機器にウイルスが入らない為にするソフトを入れる事にしても、セキュリティ対策の為にパスワードを設定するにしてもコストも当然発生します。
普通の企業や商社は予算がその為に発生しますが、病院や施設となるとセキュリティ対策又は専属の職員の配置、そしてセキュリティ対策の為に遠隔で病院や施設の
情報を守ってくれるセキュリティ専門の企業との契約委託に関してもお金が当然発生します。
外部防犯(患者や職員の安全)には警備会社、内部防犯(カルテや医療機器等の情報)にはセキュリティ、サイバー攻撃防止ソフト又は企業との契約をする事で
大きな赤字に繋がってしまう医療機関が多いと思われます。

•肝心な時に対策が逆効果となるリスク

セキュリティ対策が逆効果になる場合があります。
もし院長や施設責任者、又はセキュリティ対策専属職員が不在な状態で、「急遽、データーが必要となった」「患者を転院させる為に転院先に情報を送って欲しい」ということになれば
勤務している職員で対応をする必要があります。
しかし「パスワードが解らない」「どうやって情報を収集するの?」といった末端で勤務する医療従事者は解らない事が多い事があります。
又、早急に治療方法や使用している薬の情報が欲しいとなると、患者の命に関わって来ます。

•セキュリティに対応出来る職員がいない

初めに話しましたがセキュリティ対策に対応出来る職員がいないケースが多いです。
勿論、サイバー攻撃等の情報漏洩に対応出来る職員は病院を管理している院長が責任を持って対処する必要がありますが、院長自体が情報がどこにあるのか
理解出来ない場合もあります。
「どんな、情報を守っているのか?」「どこに情報があるのか?」など、現場で勤務する職員にしか解らない場合が多くその職員の大半がサイバー攻撃の対処方法が
解らない場合もあります。
セキュリティ対策に関しては専属の職員や委託している企業を入れて定期的に会議を行うことも重要で、現場で勤務する職員にもサイバー攻撃対策の研修を受けさせ
指導や教育をする機会が必要となります。

•便利になりすぎた電子カルテと検査記録

昔は手書きのカルテで検査も手書きで記録して、レントゲンにかんしても撮影した写真を各外来の科に持って行き医師から結果を聞くと言った感じでした。
しかし今は、医療機器や病院内のネット環境も進歩しており、患者自体にもID番号が付いています。
そのID番号でレントゲン検査を受ければ、結果は自動的に検査の指示を出した医師のPC内にある電子カルテに届くといったように便利になっています。
もう看護師や検査技師、看護助手が検査結果を医師に直接運ぶ手間が無くなった事となります。
しかし、この便利さを悪用する人も多いのです。
サイバー攻撃で勝手に電子カルテの情報を流して、検査記録を書き換えることも可能となるのです。
癌な患者の検査記録を健常者の記録に書き換えてしまい、癌の発見を手遅れにさせることも可能となるのです。

医療機関がサイバー攻撃から狙われる理由と原因

•患者や職員の個人情報の漏洩させる

患者や職員の情報はお金になります。
病名や患者の住所や家族構成、勤務先の情報はサイバー攻撃を受けやすくなり情報漏洩にも繋がって行きます。
又、勤務している職員の情報も狙われやすいです。
現在、コロナウイルスが猛威をふるう中、感染者の情報はとても狙われやすく感染病棟で勤務する職員の情報も狙われやすいです。
「この看護師は感染症指定病院勤務だ」「この患者は、コロナに感染していて住所はここだ!」といった情報が漏れてしまうことで
患者や職員の個人情報が漏洩し、攻撃を受けてしまうことになります。
感染者の情報を公開する都道府県が多いですが、行動歴以外にも住所や勤務先、家族構成の個人情報が解る事で安心する人は沢山いると
私自身思います。

•既に予算が無い事を理解していて困らせたい

サイバー攻撃をする人間は医療機関には既に予算が無い事を知っている場合が多いです。
「もう医療現場を優先で、そこまで手が回らない」「そんな所までお金が回らない」と言う理由が殆どです。
患者の個人情報や電子カルテにある検査記録を攻撃する事で、困る人は沢山います。
患者自身もですが、病院自体も困ってしまい大きな責任を負う可能性もあります。
「個人情報を守る事は出来なかったのか!?」「患者の情報を流す事は大きな罪」と言う病院を管理する院長は責任を負い、「この病院は患者や職員の
情報管理が出来ない」と言うことで経営が出来なくなってしまう事もあります。

•PCウイルスにより医療機器が使用不可にさせる

PCにウイルスが入る事で、医療機器が誤作動を起こすと言ったことも海外で報告されており、集中治療室がそれが原因で使用不可となってしまった病院もあると
言われています。
何故、ウイルス1つでこのような事が起こるのか?
それは病院内は医師が使うPCと検査機器が繋がっているのです。
ウイルスはメール等を開く事で感染すると言われていますが、病院内の複数のPCを接続して感染する場合もあります。

又、CDロムやUSBからの感染もあり、情報持ち出し禁止の為にUSBの使用は病院内では禁止していることが殆どです。
医療機器の誤作動は、作動出来なくなる状態にさせる事と、誤った検査結果を出させて医師が診断出来なくさせます。
他にも、治療危機自体を作動出来なくする事もあり、集中治療室が使用出来なくなった海外のケースはそれに当てはまると思われます。
現在、その集中治療室は使用不可で倉庫となっている状態です。