クリニックのサプライチェーンセキュリティ対策—医療機器・診療システムを経由した攻撃リスクと実践的な備え
IT担当者がいない・兼任で困っている企業へ
月額8万円〜、情シス・IT部門・CTO機能を丸ごと外注できます
「うちは小さいから大丈夫」が一番危ない
医院や歯科クリニックなど小規模な医療機関では、「自院のシステムは直接攻撃されないだろう」と考えがちです。しかし近年、攻撃者は直接ターゲットを狙うのではなく、その取引先や使用ソフトウェアを足がかりにする「サプライチェーン攻撃」を多用しています。
厚生労働省の報告でも、外部委託先やソフトウェアベンダーを経由した医療機関への被害事例が複数確認されています。小規模クリニックであっても、患者の個人情報・診療情報を扱う以上、無縁ではありません。
2023年改正医療法でサイバーセキュリティ対策が義務化された
2023年5月、厚生労働省は「医療情報システムの安全管理に関するガイドライン」を第6.0版に改定し、同年中に医療法施行規則を改正しました。2024年4月以降、すべての医療機関の管理者(院長)がサイバーセキュリティ対策の実施責任者として義務を負うことが明確化されています。
義務化の主な内容は以下のとおりです。
義務項目 | 具体的な内容 |
|---|---|
責任体制の整備 | 院長が「医療情報システム安全管理責任者」として対策の最終責任を持つ |
リスクアセスメント | 使用しているシステム・機器・外部委託先のリスクを定期的に評価する |
インシデント対応計画 | サイバー攻撃を受けた場合の対応手順をあらかじめ策定・周知しておく |
外部委託先の管理 | ベンダー・SaaSサービスのセキュリティ水準を確認・管理する |
従業員教育 | スタッフへのセキュリティ研修を定期的に実施する |
「知らなかった」では済まされない状況になっています。都道府県による立入検査の対象にもなりうるため、早急に体制を整えることが求められます。
サプライチェーンセキュリティとは
サプライチェーンセキュリティとは、自院が直接使うシステムだけでなく、それを提供するベンダーや外部サービスまで含めたセキュリティ管理の考え方です。
たとえば、電子カルテシステムのベンダーが攻撃を受けてマルウェアが混入した場合、アップデートを通じて自院のシステムに感染が広がることがあります。これが典型的なサプライチェーン攻撃です。
- 直接攻撃:自院のシステムやネットワークを直接ターゲットにする
- サプライチェーン攻撃:取引先・ベンダー・SaaSを経由して侵入する
後者は発見が遅れやすく、被害が拡大してから気づくケースが多いという特徴があります。
小規模クリニックが直面する3つのリスク
①医療機器のソフトウェアが攻撃の入口になる
レントゲン装置・超音波診断機・血糖測定器など、現代の医療機器の多くはソフトウェアで動作しており、院内ネットワークに接続されています。メーカーが定期的にファームウェアのアップデートを提供していますが、更新が遅れると既知の脆弱性を突かれるリスクがあります。
また、機器の保守を担う医療機器ベンダーがサイバー攻撃を受けた場合、リモートメンテナンス経由で自院のネットワークへ侵入されるケースも報告されています。
②診療管理システム(電子カルテ・レセコン)のリスク
電子カルテやレセプトコンピュータを提供するベンダーが攻撃された場合、ソフトウェアのアップデートファイルやサポートツールにマルウェアが混入することがあります。クリニック単体のセキュリティ対策が万全でも、使用しているソフトウェアのベンダーが狙われれば被害を免れないのが、サプライチェーン攻撃の怖いところです。
2021年に世界的に問題となったITサポートツールへの攻撃では、ツールを利用する多くの中小企業・医療機関がランサムウェア被害を受けました。ベンダーを信頼するだけでは不十分な時代になっています。
③日常業務で使うSaaS・クラウドサービスの脆弱性
予約管理・会計・スタッフ間連絡に使うSaaSも、サプライチェーンリスクの対象です。SaaSのサービス提供者側でセキュリティインシデントが発生すると、顧客データが漏洩したり、連携しているシステムへ不正アクセスされる可能性があります。
特に、シングルサインオン(SSO)やAPI連携を使って複数のツールを接続している場合、一つのサービスが侵害されると連鎖的に他のサービスへも影響が及ぶ点に注意が必要です。
攻撃を受けた場合の影響
診療停止・患者データ漏洩のリスク
医療機関がランサムウェアに感染した場合、電子カルテへのアクセスができなくなり、診療業務が停止します。国内の病院でも電子カルテシステムが数週間〜数ヶ月間使用不能になり、手術の延期や通常診療の制限を余儀なくされた事例が報告されています。
また、患者の個人情報・診療情報が漏洩した場合、個人情報保護委員会への報告義務が生じるほか、患者からの信頼失墜・損害賠償リスクも発生します。
小規模クリニックほど回復に時間がかかる
大規模病院であれば専任のIT担当者やバックアップ体制が整っていることが多いですが、小規模クリニックはIT対応のリソースが限られています。インシデント発生後の復旧に時間がかかり、その間の機会損失・業務負担が経営に直結します。事後対応よりも事前対策にコストをかける方が、トータルでは圧倒的に安上がりです。
今すぐできる4つの対策
①ベンダー評価チェックリストで取引先を確認する
2023年改正医療法のガイドラインでも「外部委託先の管理」が義務項目に含まれています。電子カルテ・レセコン・医療機器・SaaSのベンダーを以下のチェックリストで評価しましょう。
確認項目 | 確認方法 | 重要度 |
|---|---|---|
ISO 27001 / ISMS 認証の取得 | ベンダーのWebサイト・資料で確認 | ★★★ |
医療情報システム安全管理ガイドライン(第6.0版)への対応表明 | 公式発表・問い合わせで確認 | ★★★ |
脆弱性発見時のパッチ適用ポリシーと通知フロー | 契約書・SLA・サポート規約で確認 | ★★★ |
インシデント発生時の顧客への通知義務・対応SLA | 契約書に明記されているか確認 | ★★★ |
データの保存場所(国内データセンターか) | サービス仕様書・問い合わせで確認 | ★★ |
リモートアクセス時の多要素認証の使用有無 | 保守契約・サポート規約で確認 | ★★ |
バックアップ・災害復旧(DR)対応の有無と復旧目標時間 | サービス仕様書で確認 | ★★ |
サポート担当者のアクセス権限管理方針 | 問い合わせ・契約書で確認 | ★★ |
年次セキュリティ監査・ペネトレーションテストの実施有無 | 問い合わせで確認 | ★ |
再委託先(下請け)のセキュリティ管理方針 | 問い合わせで確認 | ★ |
★★★が「契約前に必ず確認」、★★が「確認が望ましい」、★が「できれば確認」の目安です。既存のベンダーについても、年に一度はこのチェックリストを使って見直すことを推奨します。
②ソフトウェア・ファームウェアのアップデートを管理する
電子カルテ・レセコン・医療機器のソフトウェアは、提供されたアップデートを速やかに適用することが重要です。更新を後回しにするほど、既知の脆弱性を突かれるリスクが高まります。医療機器のファームウェア更新は認証機器の仕様変更に関わる場合があるため、事前にベンダーへ確認してから実施することを推奨します。
③アクセス権限とネットワーク分離を見直す
院内ネットワークを「診療系」と「管理系(会計・予約・一般業務)」に分離することで、一方が感染してももう一方への被害を抑制できます。また、スタッフごとにアクセス権限を適切に設定し、退職者のアカウントを速やかに削除することも重要です。
④定期的なオフラインバックアップを実施する
ランサムウェア攻撃を受けた場合に最も重要なのが、オフラインバックアップの存在です。少なくとも週1回以上、患者データ・診療記録をオフラインまたはクラウドにバックアップし、実際に復元できることを定期的に確認しておきましょう。
バクティーなら、クリニックのIT・セキュリティをまとめてサポートします
バクティーは、医療クリニックを含む中小企業のIT管理・セキュリティ対策をまるごと代行するサービスです。2023年改正医療法への対応状況の確認・サプライチェーンリスクの棚卸し・ベンダー評価・アクセス権限設計・定期バックアップの運用まで、専任担当者がリモートで伴走します。
「うちのIT環境、本当に大丈夫だろうか」「改正医療法への対応ができているか不安」という方は、まずは30分の無料相談からお気軽にご連絡ください。
まとめ
- 2023年改正医療法により、クリニックの院長はサイバーセキュリティ対策の実施責任者として義務を負います
- サプライチェーン攻撃は、取引先・ベンダー・SaaSを経由してクリニックに侵入する手口です
- ベンダー評価チェックリストを使い、契約前・年次で取引先のセキュリティ水準を確認しましょう
- アップデート管理・ネットワーク分離・バックアップが基本の対策です
- 小規模クリニックほど専任担当がいないため、外部のIT代行サービスの活用が有効です
Next Step
ITの課題、まずは無料でご相談ください
情シス代行・DX推進・CTO代行など、貴社の状況に合わせた最適なプランをご提案します。相談・見積もりは完全無料です。
✓ 押し売りなし ✓ 1営業日以内に連絡