セキュリティ対策vol.23|2023年度中に医療機関が対応必須なセキュリティ対策とは
厚生労働省、サイバーセキュリティ対策チェックリストを発表
厚生労働省は6月9日に、医療機関におけるサイバーセキュリティ対策チェックリストを公表しました。
厚生労働省:医療機関のサイバーセキュリティ対策チェックリスト
厚生労働省:医療機関におけるサイバーセキュリティ対策チェックリストマニュアル
これは昨年から医療機関がランサムウェアと呼ばれるサイバー攻撃の標的にされることが多くなったこと、それによって長期間の診療停止を余儀なくされるなど、深刻なダメージをおうようになったことが背景にあります。
弊社でも過去に事例としてご紹介させていただいておりますので具体的な事例は下記からご確認ください。
2022/11/25| 大阪急性期・総合医療センターの事例から学ぶセキュリティ対策
これらの背景から厚生労働省では
・医療情報システムに関するガイドラインを改訂する
・サイバーセキュリティ対策についても立ち入り検査の対象にする
・医療機関向けのチェックリストを作成する
3つの方針を定めて取り組みを行うことに決めました。
このチェックリストにより本年度中(2023年度中)になすべき事項、来年度中(2024年度中)になすべき事項が明確に定義され、医療機関ではその対応が必須となりました。
今回のブログでは、医療機関がそれぞれになすべき事項を整理してお届けさせていただきます。
本年度(2023年度)中に実施すべき事項
本年度中に実施するべき項目は以下のようになっています。
おおづかみに言えば、現在のシステムやサーバーについて、トラブルがあった際に原因の究明ができるように管理系統の明確化が求められている事が特徴と言えます。
体制構築
・医療情報システム安全管理責任者を設置している。
医療システム全般
・サーバ、端末 PC、ネットワーク機器の台帳管理を行っている。
・リモートメンテナンス(保守)を利用している機器の有無を事業者等に確認した。
・事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出してもらう。
サーバについて
・利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
・退職者や使用していないアカウント等、不要なアカウントを削除している。
・アクセスログを管理している。
ネットワーク機器について
・ セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
・接続元制限を実施している。
・インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡体制図がある。
これらについて2023年度中にすべての項目で「はい」にマルが付くよう取り組むことが明示され、立入検査の際は、チェックリストに必要な事項が記入されているかを確認することが求められております。
特に「医療システム全般」に関する3つの項目は自前での管理をしている医療機関は少なく、委託業者との連携が必須になってきます。
一方で来年度中の実施をすべき項目についてはどのようなことが規定されているでしょうか。
アストンではセキュリティリスクのチェックリストを無料で配布しています。
5分でわかるセルフチェックリストとなっているため、お気軽にお試しください。
来年度(2024年度)中に実施すべき事項
2024年度中に実施すべき項目は前項に加えて下記のようになっています。
サーバについて
・セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
・バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。
端末 PC について
・利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
・退職者や使用していないアカウント等、不要なアカウントを削除している。
・セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
・バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。
インシデント発生時に備えて
・インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している。
・サイバー攻撃を想定した事業継続計画(BCP)を策定、又は令和6年度中に策定予定である。
2024年度中のチェックでは運用が適切にコントロールされているかをチェックする事が主になっています。
2023年度に決められたセキュリティ要件に加えてそれらが適切にアップデートされているかのチェックが大切だと言えます。
<ご相談はアストンへ>
アストンでは最新のセキュリティ事情に精通した担当者が対応をさせていただきます。
新基準にあわせたルールの策定など、お気軽にお問い合わせください。
まずはご相談ください。
株式会社アストン TONグループ
03−4360−8676
https://aston.jp/contact/