病院が今しなければならない事ベスト6

１．改正個人情報保護法への対応　（2017.5.30施行）
２．脅威への対策
３．インシデントにおける院内体制、従業員教育と啓蒙
４．投資の仕方／考え方の変更
５．ＢＣＰ対策
６．情報システム部門の設置

改正個人情報保護法

改正された内容

2015 個人情報保護法が国会審議の上で改正が決定
2017.5.30 改正個人情報保護法が施行
この改正法のポイント
　　　１．従来の個人情報5000件以上から、１件以上に変更（件数に関係無し）
　　　２．電子カルテが「要配慮個人情報」に指定　(要保護)
　　　３．従業員のマイナンバーも保護対象
　　　４．インシデントに対する従業員への教育が事業主の義務に
　　　５．脅威への対策が必須　（情報漏洩＋サイバー攻撃）
　　　６．セキュリティーのためのプロトコルが指定　（クラウド等）
　　　７．10年以内に「二要素認証」への対応が義務化

今回の改正法では、個人情報の件数に対する壁が無くなり、病歴が「要配慮個人情報」に指定されたことから
開業医さんも改正法に対応する義務が生じた事は非常にインパクトが大きいものとなります。

　　一般の企業は従業員のマイナンバーだけですが、医療機関には電子カルテもあります。
　　　　　　　１．従業員の個人情報（マイナンバー）
　　　　　　　２．電子カルテによる患者病歴情報
　　この２つが医療機関内に存在し、これらを２つを保護する事が法律で求めらるようになりました。

この改正法により、医療機関は最も厳しい対応が求められるようになりました。

医療情報漏洩に関する集団訴訟について

2014年7月　情報漏洩事件　ベネッセホールディングスの子会社ベネッセ・コーポレーション（以下ベネッセ）
登録会員約2900万件の個人情報が漏洩。警視庁は、勤務していた派遣社員の男性を逮捕
事件発覚から現在までの流れ
ベネッセでは情報が漏洩してしまった登録会員に対し、図書カード・電子マネーギフトによるお詫びを実施。
その結果、約136億円の赤字が発生

その後
収益の柱である進研ゼミの会員数　(2014年4月末）365万人→（1年間で▲94万人減）の271万人
　　　　　　　　　　　　　　　　　2016年4月　243万人
収益ダウンの深刻な状況　　　　　2014年3月期358億円　→　2017年3月期77億円　　（1/5に低下）
被告：元システムエンジニアの被告（４２）　不正競争防止法違反　懲役２年６カ月、罰金３００万円
控訴審判決（東京高裁 2017/2）
　　　会社側に対して→顧客情報の管理が不適切だった
　　　事件発覚前の社内は、
　　　　　　　・顧客情報へのアクセスを制限なし
　　　　　　　・異常を検知システムが不完全
　　　　　　　・職場へのスマートフォンの持ち込み可
　　　　　　　・子会社の情報管理体制に不備　等を認定
　　　　　　　　　　　▼
　　　　セキュリティ会社を設立
現在　：　日本で最初の集団訴訟中（集団訴訟の時代の幕開となった）

もし、この事件が改正個人情報保護法が施行された後であったらならば、
逮捕者は事業主（代表取締役や開業医など）になります。

脅威（サイーバーテロ）

サイバー攻撃とは

サイバー攻撃とは何をされるのでしょう。
医療機関にデータを盗むことを目的とした攻撃が2015年まではありました。
盗んだ医療情報がダークサイトで高額で販売されていました。
ここ数年、攻撃の目的（金銭目的）は変わっていませんが、情報を盗むのではなく
人質を取り身代金を要求する攻撃へと変わってきています。
院内における人質とは、「電子カルテデータ」「コンピュータシステムの停止」「IoT医療機材の動作停止」
身代金を払わないと全てダウンしてしまい、データは暗号化され使いものにならなくなってしまいます。

何故？病院の情報を盗むのか？

米国での凡例ですが カルテデータが盗まれダークサイトで販売されましたが、一説によると保険会社が情報を購入したと噂されています。
保険費用や支払う保険金に関係するのではと
また臓器売買のための情報に扱われるとの噂もあります。

また病院の個人情報には従業員（医師や看護師）のマイナンバーも含まれるため
これらの情報から何かを企んでいると推測できます。

国内/海外の事例

海外では沢山の脅威が報告されています。
■2009年米国でＭＲＩ装置のウイルス感染が見つかる
２０１１年米国で糖尿病患者用のインスリンポンプの遠隔操作、コンピューター制御で患者に
適切な量のインスリンを注入する装置だが、外部操作で注入量を変え操作、
健康被害には至っていなかった、

■2014年８月米国で２００以上の病院を運営する医療チェーン「コミュニティー・ヘルス・システムズ」が
サイバー攻撃を受け、４５０万件もの患者情報や社会保障番号を流出

■米国ボストンの Beth Israel Deaconess Medical Center
高リスク妊娠の女性 向けの Philips 製胎児モニタ装置がマルウェアに感染！
装置のレスポン スが遅くなったことが報告された。

■インスリンポンプへのハッキング 2011 年糖尿病患者の治療に用いるインスリンポンプの制御システムに
脆弱性を突いて侵入し「致死的な攻撃」を仕掛ける。
具体的 には、インスリンを送り込むポンプの無線機能に脆弱性が存在し、投与するインスリンの量を外部から操作

■2016年2月17日　米ロサンゼルス、私立病院
サイバー攻撃で医療記録システムを「人質」身代金を仮想通貨「ビットコイン」で支払って正常化
ハリウッド・プレスビタリアン・メディカルセンター
情報システムに接続できなくなり病院運営が混乱。その後、ハッカーがウイルスを感染させてシステムを乗っ取り、
データを暗号化され暗号を解除に身代金40ビットコイン（2016当時で約190万円相当）の要求
10日後にシステムが復旧

40ビットコインは、2017.12現在だと8000万円に相当

■2017年5月英国国営病院に大規模なサイバー攻撃
病院に大規模なサイバー攻撃が行われ、医療機関ＩＴ（情報技術）システム停止、手術を中止、
診察予約キャンセル、医療サービスが困難、救急患者は別の病院に搬送などの影響が発生
ロイター通信は、同様のサイバー攻撃がロシアを中心に欧州やアジアなど約１００カ国で起き、
攻撃件数は合計５万７千件以上と伝えている

警察の動き

警視庁は、「サイバー攻撃対策センター」を設立しました。
クレームや被害相談が警察に殺到している状況です。
自社システムにはセキュリティ対策をしている企業からは、
「セキュリティ設備を導入しているのに被害にあった。セキュリティシステムを訴えたい。」そんなクレーム
セキュリティシステム構築会社からは、「顧客が被害にあい、訴えられそうだ。」そんな相談が多い。
警察は、多層防御を薦めています。
ウィルス対策ソフトは『30～40％程度の防御力しか無い』とセキュリティベンダーの話です。
しっかりとした社内体制が必要と呼び掛けています。
また、週に１回はどこかでセミナーが実施されています。

東京都の取り組み

東京都では被害の増加により都内企業に対して啓蒙活動を実施しています。
月曜日の朝になると金融機関の預金口座から自社資金が消えているという事件が多発しており、
都としてセキュリティ対策の啓蒙活動を実施しています。（それだけ被害が拡大している状態です）
サイバーテロ対策本を配布しており、セミナーも実施されている状況です。

「私達の病院は〇〇県だから大丈夫」なんて考えは通用しない事は知っておくべきことかと思います。

病院の危機管理と機器管理

■病院が取る危機管理
2017年5月世界的なサイバー攻撃が全世界150か国以上が被害逢いました。被害件数は20万件以上、
ランサムウェア「WannaCry」によるものでした。
“菅義偉官房長官は12月20日午前の記者会見で、今年５月に世界規模で被害が出た
「ワナ・クライ」ウイルスによるサイバー攻撃について、
「事案の背後に（北朝鮮の）関与があったと明確に断定する」と述べ、米政府の見解を追認した。”
世界的に被害が広がる中、イギリスが最も深刻な被害を受けたといわれていて、
病院などのコンピューターが次々と使えなくなり、医療現場は大混乱に陥ったようです。
この時、院内システムの復旧にパソコン１台当たり＄300を、または3.3ビットコインの身代金が要求された。
ここからが本題、中規模病院の方へ
院内30台のパソコンが攻撃を受けた場合、3.3ビットコイン×30台 ＝ ９９．９ビットコインになります。
2017年12月20日現在のビットコインは１ビットコイン約２００万円を超えています。
約２億円の身代金を病院が用意できますか？
そういうことなんです。
病院の選択肢は、２つ
『いつでも身代金（ビットコイン）を用意できる体制を整える』か
『サイバーテロ対策をきちんと行い従業員へのインシデント教育をすること』です。

■病院が取る機器管理
物がネットワークに繋がるIoTの時代です。過去における病院へのサイバー攻撃の中には、
パソコン内を暗号化してしまう犯罪行為の他に、ＭＲＩ機器や透析機器を外部からコントロールしてしまい
身代金を要求する犯罪行為の事例も数多くあります。
そこに病院がとるべき危機管理があります。院内にどういったデジタル機材が何処にあり、
どのような形でネットワークに繋がっているのか棚卸をする必要があります。
これは、デジカメやＵＳＢメモリ等、手の上に乗るような機材まで全てです。
それぞれがサイバー攻撃を受けた場合の対処方法をマニュアル化しておくと迅速な対応ができます。
そのためには、院内全てのデジタル機材の棚卸を行い、それぞれの管理者任命をする事が必要になります。
大手の民間企業は実施されています。
さらに、医師を含め検査技師や従業員のインシデント教育は必須ですね。

多層防御

セキュリティベンダーや警視庁「 サイバー攻撃対策センター 」からは、
対策ソフトを入れたからと過信してはいけないといわれています。
メールにおける対策ソフトを扱っているベンダーでも35％の防御しかできないとアナウンスされています。
対策はいくつかの段階を踏み用途に合わせた複数の製品を用いて多層に行うことを推奨されています。
「ワナクライWannaCry」の攻撃を例にすると外側からの防御だけでなく内側からの防御も必要になっています。
外側と内側の防御を行っても新種による攻撃からは１００％防御は無いことは知っておいてください。
毎週行われるマイクロソフトのセキュリティーアップデイトもお忘れなく対応してください。

インシデントにおける院内体制、従業員教育と啓蒙

民間企業では既に当たり前となっていますインシデント対応、医療機関で実施されているのは極わずかです。
個人情報がどこから漏れたのか、何から漏れたのか、誰に報告するのか、黙っていていいのか、
状況を知るには時間がかかります。
また、ウィルス等における攻撃を受けた時にどう対処したらいいのか、どう行動すべきか
亡くした個人情報をどうやって探すのか初動捜査はどうやって行うのか、警察にはいつの段階で通報するのか、
誰が警察に知らせるのかこういった対方法を教育し訓練することが必要です。民間企業では既に行われています。
特に開業医の先生院内を守るために実施しましょう。

投資の仕方（財務面の変更からシステム構築の考え方を変える）

皆様の院内情報システムに費やす費用の割り当て方はどうなっていますか？
殆どの開業医さんは、経費扱いで処理されていないでしょうか。
企業は、投資部分と経費との費用分担を会計監査に沿ってきちんと処理され、
そのやり方がシステムの導入や更新時に大きく響きます。
2018年度は設備投資減税が閣議決定されました。2018年度は良い時期だと思いますが
企業が一斉に行うのでハードウェアの価格は上がります。
また、米国金利の引上げが(2017年12現在)決定され、日本においても今後リース金利の上昇懸念も出てきますね。

BCP対策（事業継続計画）

福島の震災後に出てきた言葉であり、東京では首都直下型地震の備えの一環として政府や都庁が進めています。
医療機関においては何処まで実施すれば良いのでしょうか？
大手のＩＴベンダーさんは備えあれば憂いなしといことで全てをソリューション化して進めてきます。
それが本当に最適なので必要なのでしょうか？
疑問に思います。高いお金出して導入しても落とし穴があります。
WindowsＸＰやWindows７を使用している医療機関はまだまだ沢山存在します。 地震で倒壊し復旧で新しいコンピュータ機材が届いた時に、バックアップしておいたデータや電カルが使えるでしょうか？
新しいパソコンはきっとWindows１０でしょう。
データや新しいパソコンがあっても完全には復旧しません。
民間企業の場合は完全復旧ができる対策をとっています。

そういったネガティブシンキングから十分に検討し自身の医院にあった対策を私達と探していきましょう。
政府は２０１２年より医療機関のクラウドへの移行を進めています。それにも落とし穴があります。

院内組織「情報システム部門」の必要性

現在準備中の会員制サイトにて公開予定