「薬局におけるサイバーセキュリティ対策チェックリスト」どうしよう

はじめに

薬局経営者とサイバーセキュリティについて会話する機会があった

なんでも厚生労働省から出されている「薬局におけるサイバーセキュリティ対策チェックリスト」への対応を迫られており困っているとのこと。サイバーセキュリティどころかITの専門家が社内にいないことから、さてどうしたものかと顔を曇らせていた

恥ずかしながら筆者は筆者はこのとき初めて対策チェックリストの存在知った。興味が湧いたことから今回のテーマとした

まず医療業界の動向に少し触れたあと、本丸の「薬局におけるサイバーセキュリティ対策チェックリスト」について筆者見解を記載する

なお筆者は医療業界の経験はないため記載間違いを危惧する、間違い等あれば当サイトの問い合わせから連絡いただけるとたいへんありがたい

医療業界とサイバーセキュリティ

徳島県つるぎ町立半田病院コンピュータウイルス感染事案

報道をご覧になった方もおられると思うが、医療業界がサイバーセキュリティ対策強化をする契機になったと思われる事案である

• 2021年10月31日の未明、サイバー攻撃を受け、電子カルテをはじめとする院内システムがコンピュータウイルスに感染し、カルテが閲覧できなくなるなどの大きな被害
• 2022年1月4日にようやく通常診療再開
• 攻撃者は導入しているVPN装置の脆弱性を悪用して侵入
• 半田病院は、BCP（事業継続計画）を発動し発生当初から災害級の取り扱いでインシデント対応を実施
• インシデント対応に秀でているわけではないことからの各ベンダ（事業者）の不誠実な対応
  • 電子カルテを導入・保守している事業者
  • 関連のシステムやセキュリティ製品を導入・保守している事業者
  • フォレンジックを請け負った事業者

参考資料

半田病院事案以降の厚生労働省の動き

「徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書 2022年6月7日」において、政府機関が公開しているガイドラインに課題があるとの報告がなされている

厚生労働省を始めとした政府機関が公開しているガイドラインも、そもそも複数のガイドラインが存在することや、抽象度が高いこと、またISMSなどを前提としているためにハードルが高い内容が示されているなど、ガイドラインそのものにも課題があると言える。

また、今回はつるぎ町立の病院で発生したことを鑑みると、総務省の公立病院経営強化プランなどにも、BCPに必要なリソースを捻出する配慮をすることや、中小企業や公営企業などのIT弱者に対するモデル契約や実行しやすく、一人でシステム運用を行うような組織においてもより対応しやすい、具体的なガイドラインへの変更や作成が求められる。

次章では、新たな厚生労働省による薬局のサイバーセキュリティ強化施策について触れてみる

厚生労働省による薬局のサイバーセキュリティ強化施策

薬局のサイバーセキュリティ強化施策について、2023年に厚生労働省から省令や通知がなされている

厚生労働省　省令

2023年に以下の省令が公布・施行されている

• 「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則の一部を改正する省令」（令和5年3月31日公布・同年4月1日施行）
• 薬局の管理者の業務及び遵守事項として以下が追加されている
  • 薬局業務にかかるサイバーセキュリティ確保のために必要な措置を講ずること

厚生労働省　通知

2023年に以下の通知がなされている

• 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則の一部を改正する省令の施行等について（令和5年3月31日付け薬生発0331第14号医薬・生活衛生局長通知）

• 薬局の管理者の遵守事項として、サイバーセキュリティの確保について必要な措置を講じることを明確化
• 薬局におけるサイバーセキュリティの確保を講じる措置の遵守
  • 薬局におけるサイバーセキュリティの確保に必要な措置については、最新の「医療情報システムの安全管理に関するガイドライン」を参照の上、サイバー攻撃に対する対策を含めセキュリティ全般について適切な対応を行うこと
  • 安全管理ガイドラインに記載されている内容のうち、優先的に取り組むべき事項については、厚生労働省において別途チェックリストを作成し、後日通知する。

また、2024年には以下の通知がなされている

• 令和６年度版「薬局におけるサイバーセキュリティ対策チェックリスト」及び 「薬局におけるサイバーセキュリティ対策チェックリストマニュアル ～薬局・事業者向け～」について（令和６年５月13日付け医政参発0513第８号・医薬総発0513第１号厚生労働省医政局特定医薬品開発支援・医療情報担当参事官・医薬局総務課長通知）
• 「薬局におけるサイバーセキュリティ対策チェックリスト」の運用
• 医療機関等におけるサイバーセキュリティ対策については、厚生労働省が作成している「医療情報システムの安全管理に関するガイドライン」を参照の上、適切な対応を行うこととしているところ、薬局が優先的に取り組むべき事項をチェックリストにまとめている
  • 薬局においても調剤レセプトコンピューターや電子薬歴システム等の医療情報システムが導入されており、法令やガイドラインに基づき、適切な管理の下でこれらのシステムを利用することが求められている

医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）

見直しされた「医療情報システムの安全管理に関するガイドライン第6.0 版」が2024に策定されている

改定の概要

「改定の概要」を見ると、現状課題への対応や最新の情報セキュリティへの追随といった点でともてよい改定の印象である

• 遵守事項だけでなく背景にある考え方が示されている
• クラウドサービスに対するリスクや対策が整理されている
• 認証認可におけるゼロトラスト思考に則した対策の考え方を示されている

「薬局におけるサイバーセキュリティ対策チェックリスト」について

ここからは「薬局におけるサイバーセキュリティ対策チェックリスト」のいくつかの項目を取り上げ、内容の分析と考察を記載する。

分析と考察については筆者の個人見解であり、これら見解に基づく情報の利用は自己責任でお願いしたい

なお対象のチェックリストは以下とする

• 令和６年度版「薬局におけるサイバーセキュリティ対策チェックリスト」及び 「薬局におけるサイバーセキュリティ対策チェックリストマニュアル ～薬局・事業者向け～」について

「薬局におけるサイバーセキュリティ対策チェックリスト」：医療情報システムの有無

対象項目：「医療情報システムの有無」

ポイント

①医療情報システム（（例：レセコン、電子薬歴システム等）がない場合は、対象外となり以降のチェックリストが不要となる

②医療情報システムがない場合、チェックリストを使用しなくとも以下の情報セキュリティ管理は実施しておくべきであろう

• PCやスマホの情報セキュリティ管理
• 電子メール、PC内データ、社内のサーバやデータストレージ
• 業務で利用しているクラウドサービス
  • 会計・経理、人事、コミュニケーションツール、クラウドデータストレージ　など

顧客情報や重要経営情報の流出は、薬局経営そのものや社会的信用に悪影響を与えかねない

「薬局におけるサイバーセキュリティ対策チェックリスト」：２医療情報システムの管理・運用

対象項目：「サーバについて、以下を実施している」

ポイント

①医療情報システム（レセコン、電子薬歴システム等）の構成によっては、薬局側では手が出せない場合がある

• 薬局が自前でのシステム設計構築を行い運用している場合
  • システム導入後であってもセキュリティ対策を行うことが可能
  • コストと経営のバランスを考慮する必要がある
• 委託先が導入したシステムを利用している場合
  • 委託先へ改修依頼を行うことでセキュリティ対策を行うことができる場合がある
  • 情報セキュリティ事故発生時の対応（インシデント対応、損害賠償等）を委託先と決めておく必要がある
  • コストと経営のバランスを考慮する必要がある
• クラウドサービスやSaaSにてシステムを利用している場合
  • サービス事業者が複数の客に向けて提供しているため、あとからのセキュリティ対策を行うことは困難
  • しかし、薬局向けのサービスであるならすでにセキュリティ対策がされているとも考えられる

②セキュリティ要件への適合性をシステムやサービス導入の前に確認しておくのが理想

• どのようなシステム構成であっても事前の設計や確認をしておくとよい

③「アクセスログ管理」や「セキュリティパッチの適用」は運用で実現

• システムやサービスを導入するだけで安心してはいけない
• 継続的な運用を実施する必要がある
  • 突然のサイバー攻撃を受けたとき、原因解析を助けるログの解析がすぐできる状態にあるか
  • システムの脆弱性が発見されたとき、すぐにセキュリティパッチが適用できる状態にあるか

情報セキュリティ確保だけでなく、コストを考慮した経営目線でのシステム導入をするのがよい

対象項目：「端末PCについて、以下を実施している」

ポイント

①「アクセス制限」と「アカウント管理」はPC管理というよりも、システム側の管理といえる

• システムやクラウドサービスの認証や認可を管理するというのがセキュリティ対策となる
  • ログインは多要素認証（MFA）を認証条件としているか
    • ID/Password認証に加えて、スマホアプリでの本人確認や顔認証ような生体認証を「認証条件」とするのが一般的である
  • ログインするメンバがアクセスする条件は最低限としているか
    • データ閲覧しか業務利用しないメンバにデータ作成変更権限まで与えることでリスクが生じる

②PCへのセキュリティパッチ適用

• OSセキュリティパッチはデフォルト設定では、Windows/mac共に自動で適用される
• 管理者によって社員のPCへの強制的なセキュリティパッチを適用するのは、MDM（Mobile Device Management）を導入するとよい
• しかし、MicrosoftやAppleからサポート提供されないほどの古いPCの場合は、MDMを使用してもセキュリティパッチを適用することはできない。OSのアップグレードをすると解決するが、それすらできない古いPCであれば新しいものに交換すべきである

PCを使って業務を行うものの、セキュリティ対策はPCの外（システムやクラウドサービス、MDM）で実現するケースがあることを知っておくとよい

おわりに

「薬局におけるサイバーセキュリティ対策チェックリスト」における見解をいくつか記載したがいかがだったろうか。関係される方々の参考になるならこの上ない喜びである