実施期間=2023年11月22日 12月5日
対象者=代議員83人、回答数=36人(回答率43%)
ガイドライン・チェックリスト9割活用せず
早急にセキュリティ対策を
代議員にサイバーセキュリティ対策の実態などについて聞いた。36人のうちレセコンや電子カルテなどの医療情報システムを導入・運用していると回答した34人の結果を報告する。
まず、医療情報システムにサイバー攻撃を受けた、またはそれを疑ったことがあるかを尋ねると、「ある」3%(DDoS攻撃)、「ない」85%、「分からない」12%であった。
サイバー攻撃への不安について尋ねると、「強く感じる」21%、「感じる」59%、「あまり感じない」21%、「全く感じない」はいなかった(図1)。
ガイドラインは、「確認し、活用している」9%、「確認したが、活用していない」21%、「確認していない」71%であった(図2)。チェックリストは、「確認し、活用している」6%、「確認したが、活用していない」21%、「確認していない」74%で(図3)、ガイドライン、チェックリストともに9割以上が活用していない状況であった。
チェックリストで求められているBCP(事業継続計画)の作成状況を尋ねると、「作成している」3%、「今後、作成予定」15%、「作成の予定はない」42%、「分からない」39%であった(図4)。
現在取り組んでいるサイバーセキュリティ対策を聞いたところ、「電子カルテシステムなどのデータについて、「院内ネットワークと外部インターネットを分離している」65%、定期的にバックアップを取っている」56%、「CD RやUSBメモリなどの持ち出しや院内PCとの接続についてルール化している」21%、「保険に加入している」9%、「特に対策はしていない」12%、「ベンダーに一任しているので、よく分からない」30%であった(複数回答)(図5)。また、これらの対策を講じるための費用負担について尋ねると、「非常に負担」24%、「少し負担」49%、「あまり負担ではない」24%、「全く負担ではない」3%であった。
サイバーセキュリティ対策に関する意見・要望では、政府の責任で費用負担も含め適切な施策を行うべきなどの意見が出された。
以上の結果から、サイバー攻撃に不安を感じるものの、対策として厚労省が活用を求めているガイドラインやチェックリストはほとんど活用されていない状況が判明した。また、特に対策をしていなかったり、ベンダー任せの医療機関も一定数あるのは懸念する点である。攻撃者はセキュリティが脆弱な医療機関を狙ってサイバー攻撃を行っており、医療機関が必要な対策を講じていなければ、サイバー攻撃を受ける可能性が高くなる上に、被害も拡大しやすい。サイバーセキュリティ対策は全ての医療機関に義務付けられており、医療機関はガイドラインやチェックリストを基に早急に取り組む必要がある。協会の医療安全講習会で具体的な対策方法などを解説しているため、活用いただきたい。