こんにちは事務長の杉野です。
なんだか蒸し暑い日が続きますがいかがお過ごしですか、今回はそんな蒸し暑い日に少しでも涼しくなっていただければと思い、少しだけ怖い話をニュースと併せてお届けします。
医療機器のウイルス感染や乗っ取りを防ごうと、厚生労働省が医療機器のサイバーセキュリティーのガイドラインを策定することが18日までに分かりました。ここ数年は医療機関のウェブサイトが不正アクセスの被害を受けるケースが続出。医療機器がつながった病院内のシステムに被害はなかったが、医療機器が被害を受けた場合、患者の生死を左右する事態になりかねず、関係者は警戒を強めていいます。厚労省も「リスクマネジメントにより対策を実施する必要がある」としており、今年度内にガイドラインを取りまとめる方針です。

 医療機器のセキュリティー対策をめぐっては、米食品医薬品局(FDA)が2013年、医療機器や病院内のネットワークシステムがサイバー攻撃の標的になる可能性などを挙げ、医療機器メーカーや医療機関が適切な対策を講じる必要性を指摘し、不正や有害な動作を行う意図で作成された「マルウェア」にネットワーク接続型の医療機器が感染するといった具体的なケースも挙げていました。

 国内でも同様の事例が起きています。独立行政法人情報処理推進機構の報告書によると、金沢大附属病院で、各部門で個別に導入したシステムから、他の部門の機器にウイルス感染が広がり、診療業務への影響が発生。USBメモリ経由の侵入によるもので、ウイルス検索・駆除ツール導入後のウイルスチェックでは、1000件近くの不正プログラムが検出された機器もあったそうです。こうしたセキュリティー上の脆弱性を踏まえ、内閣官房の情報セキュリティーセンターが14年に公表した、重要インフラの情報セキュリティー対策に関する行動計画では、医療機関を「重要インフラ事業者」、電子カルテや遠隔画像診断などを「重要システム」として位置付け、注意を促しました。
 しかし、こうした警告や注意喚起にもかかわらず、不正アクセスで被害を受ける医療機関が絶えないのが実情の様で。昨年12月には国立病院機構岩国医療センター(山口県)のホームページが不正アクセスを受け、改ざんされていたことが判明。新潟県も今年2月、県立柿崎病院のホームページが不正に操作された可能性があると発表しました。医療関係者らにセキュリティー対策の重要性を説いていた厚労省も被害を受けており、1月にホームページがサイバー攻撃によって一時閲覧ができない状態となりました。

 被害を受けたホームページは、病院内の電子カルテなどとは別のシステムだったため、被害の拡大は防げたが、USBメモリなどを介して不正なプログラムを病院内のシステムに潜り込ませることは可能なことから、対策が急務です。厚労省によるガイドラインの作成は、医療機器を含む機器や物などをインターネットでつなぐ「IoT(Internet of Things)」のセキュリティーに関する国の制度整備の一環。主に医薬品医療機器法に基づく機器が対象となる見通しです。 15年4月に厚労省が出した通知では、製造販売業者に対し、①医療機器と接続できる範囲を限定する②セキュリティーの確保がなされていない医療機器は、接続できない設定にするなど注意喚起を行う③医療機関に必要な情報提供を行う―などの措置を求めています。