調剤薬局が直面するサプライチェーンセキュリティ—電子処方箋・服薬情報を守る対策
IT担当者がいない・兼任で困っている企業へ
月額8万円〜、情シス・IT部門・CTO機能を丸ごと外注できます
調剤薬局は複数の医療機関をつなぐ「情報のハブ」
調剤薬局は、患者が受診したさまざまな医療機関から発行される処方箋を受け取り、調剤を行います。つまり、ひとりの患者の複数医療機関での処方情報・服薬歴・疾患名が一箇所に集まる「情報のハブ」です。
医療機関が単一の診療情報を管理するのに対し、調剤薬局は患者の医療情報を横断的に把握できる立場にあります。これは患者にとって大きなメリットである一方、サイバー攻撃者にとっては「一度の攻撃で多数の患者の医療情報を入手できる」標的でもあります。2023年1月に運用が始まった電子処方箋の普及により、この構造はさらに拡大しています。
電子処方箋の普及でサプライチェーンリスクが拡大した
電子処方箋システムは、医療機関・調剤薬局・マイナポータル(国)が電子的につながる仕組みです。利便性が高い反面、複数のシステムが連携することで攻撃の経路も複数生まれます。
連携先 | サプライチェーンリスク |
|---|---|
電子処方箋管理サービス(厚生労働省委託) | システム障害・不正アクセスによる処方情報の漏洩・改ざん |
処方箋を発行した医療機関のシステム | 医療機関が攻撃を受けた場合、連携している薬局にも影響が及ぶ |
マイナポータル(マイナンバーカード連携) | 患者のマイナンバーカード情報と医療情報が紐付くため、漏洩時の影響が広範 |
調剤システム(レセコン)ベンダー | ベンダーが攻撃を受けた場合、ソフトウェア経由で薬局システム全体に感染 |
電子処方箋は便利なシステムですが、「つながること」で生まれるリスクを理解した上で運用することが重要です。
調剤薬局特有のサプライチェーンリスク
①調剤システム(レセコン)のベンダーへの依存
調剤薬局の業務は調剤システム(レセプトコンピュータ)なしには成立しません。処方入力・調剤記録・薬歴管理・保険請求がすべてこのシステムに依存しているため、ベンダーがサイバー攻撃を受けてソフトウェアが使えなくなった場合、薬局の調剤業務が完全に停止します。
特にクラウド型の調剤システムは、ベンダー側のサーバーで障害が発生すると全国の加盟薬局が同時に影響を受けるリスクがあります。2021年に国内の医療システムベンダーが攻撃を受け、複数の医療機関・薬局で業務停止が発生した事例は記憶に新しいです。
②電子処方箋システムを経由した攻撃
電子処方箋の受信に使用するPCや接続環境がマルウェアに感染していた場合、処方情報の改ざん(薬名・用量の書き換え)や患者情報の窃取につながります。処方内容の改ざんは患者の健康・生命に直接影響するため、他の業種とは比較にならないほど深刻なリスクです。
③薬歴管理・PHR連携システムのリスク
患者の服薬歴を管理する薬歴システムや、PHR(Personal Health Record:個人健康記録)との連携サービスも、サプライチェーンリスクの対象です。服薬歴には疾患名・精神科・婦人科等のデリケートな情報が含まれることも多く、漏洩した場合の患者への精神的・社会的ダメージは計り知れません。
④麻薬・向精神薬の管理データ
麻薬および向精神薬を取り扱う調剤薬局では、在庫管理データが厳重に管理されなければなりません。これらのデータに不正アクセスされた場合、薬物の不正入手・横流しに悪用されるリスクがあります。麻薬・向精神薬の管理に関するデータは、特に厳格なアクセス制御が求められます。
攻撃を受けた場合の影響
調剤業務の停止と患者への直接的影響
調剤システムが使えなくなると、処方箋の受付から調剤・薬歴記録・保険請求まですべての業務が停止します。特に慢性疾患の患者が日常的に必要とする薬の調剤が止まることは、直接的な健康被害につながりかねません。復旧まで数日〜数週間かかるケースでは、代替薬局の案内や手作業での対応を強いられ、スタッフへの負担も甚大です。
服薬情報の漏洩と患者の信頼失墜
患者の処方・服薬情報には疾患名が含まれます。がん・精神疾患・感染症などの情報が漏洩した場合、患者の社会的信用・雇用・保険加入に影響する可能性があり、損害賠償リスクも生じます。地域に根ざした調剤薬局にとって、患者からの信頼を失うことは経営の根幹を揺るがします。
調剤薬局が取り組むべき4つの対策
①調剤システム・電子処方箋関連ベンダーを評価する
厚生労働省の「医療情報システムの安全管理に関するガイドライン」第6.0版は調剤薬局にも適用されます。使用しているシステムのベンダーを以下のチェックリストで評価してください。
確認項目 | 確認方法 | 重要度 |
|---|---|---|
ISO 27001 / ISMS 認証の取得 | ベンダーWebサイト・資料 | ★★★ |
医療情報システム安全管理ガイドライン(第6.0版)への対応表明 | 公式発表・問い合わせ | ★★★ |
インシデント発生時の顧客通知義務・対応SLA | 契約書に明記されているか | ★★★ |
脆弱性発見時のパッチ適用ポリシーと通知フロー | 契約書・SLA | ★★★ |
データの保存場所(国内データセンターか) | サービス仕様書・問い合わせ | ★★★ |
多要素認証(MFA)の提供・強制設定 | 管理画面の設定項目 | ★★★ |
バックアップ・DR対応と業務復旧目標時間(RTO) | サービス仕様書 | ★★ |
リモートメンテナンス時のアクセス制御方針 | 保守契約・サポート規約 | ★★ |
クラウド型の場合:他顧客との論理的分離の仕組み | サービス仕様書・問い合わせ | ★★ |
②電子処方箋接続環境のセキュリティを強化する
電子処方箋の受信・閲覧に使用するPCとネットワークは、特に厳格に管理してください。
- 電子処方箋用PCは一般業務(メール・Web閲覧等)と可能な限り分離する
- OSおよびセキュリティソフトを常に最新の状態に保つ
- マイナンバーカードリーダーを接続するPCへの不審なソフトウェアのインストールを禁止する
- 電子処方箋システムへのログイン情報を複数スタッフで使いまわさず、個人IDで管理する
③麻薬・向精神薬管理データのアクセス制御
麻薬・向精神薬の在庫管理データへのアクセスは、管理薬剤師など必要最小限の担当者に限定してください。アクセスログを定期的に確認し、不審な操作がないか監視する仕組みを整えることも重要です。
④定期的なバックアップと業務継続計画(BCP)の策定
調剤システムが使えなくなった際の業務継続計画(BCP)を策定しておくことが重要です。少なくとも以下を準備しておきましょう。
- 薬歴データを定期的にバックアップし、オフラインまたは別システムで保管する
- システム停止時の手作業での調剤・記録の手順を明文化する
- 調剤システムベンダーの緊急連絡先と対応SLAを確認しておく
- 近隣の調剤薬局との相互支援体制を検討する
バクティーなら、調剤薬局のITセキュリティをまとめてサポートします
バクティーは、調剤薬局のIT管理・セキュリティ対策を月額固定でサポートします。調剤システムのベンダー評価・電子処方箋接続環境のセキュリティ設定・アクセス権限設計・バックアップ運用まで、専任担当者がリモートで伴走します。
「電子処方箋への対応でIT環境が複雑になってきた」「万が一システムが止まったときの対応が不安」という方は、まずは30分の無料相談からお気軽にご連絡ください。
まとめ
- 調剤薬局は複数医療機関の処方・服薬情報が集まる情報ハブであり、攻撃者にとって効率的な標的です
- 2023年運用開始の電子処方箋システムにより、医療機関・マイナポータルとの連携が深まり、サプライチェーンリスクも拡大しています
- 調剤システムのベンダーリスク・電子処方箋接続環境・薬歴システムが主な攻撃経路です
- 麻薬・向精神薬の管理データへのアクセス制御は特に厳格に行う必要があります
- システム停止を想定したBCP(業務継続計画)の策定が、小規模薬局でも求められます
Next Step
ITの課題、まずは無料でご相談ください
情シス代行・DX推進・CTO代行など、貴社の状況に合わせた最適なプランをご提案します。相談・見積もりは完全無料です。
✓ 押し売りなし ✓ 1営業日以内に連絡