全3260文字
PR

 病院システムの心臓部とも言える電子カルテシステム。ランサムウエアでも攻撃対象になりやすく、電子カルテのデータを「人質」に取られる被害が相次ぐ。データを守るには継続的なセキュリティー対策が必要だが、システムが止まったら困るという懸念から対策を怠るケースもあるようだ。専門家は、ベンダーと病院がリスク情報を適切に共有し、リテラシーを高めていく必要があると指摘する。

病院の電子カルテ導入率は57.2%

 まず電子カルテの現状を整理しておこう。厚生労働省が発表している「電子カルテシステム等の普及状況の推移」によると、2020年時点における一般病院での電子カルテ導入率は57.2%、一般診療所(クリニック)では49.9%である。400床以上の大病院に限ると91.2%と高い導入率だが、紙のカルテで運用している病院、クリニックは依然として多い。

電子カルテシステム等の普及状況の推移
電子カルテシステム等の普及状況の推移
(出所:厚生労働省)
[画像のクリックで拡大表示]

 また一口に電子カルテといっても、その形態は大きくオンプレミス(自社所有)型とクラウド型に分けられ、それらのハイブリッド型も存在する。オンプレミス型とクラウド型の最も大きな違いは電子カルテデータを院内に設置したサーバーで管理するか、外部に設置したサーバーで管理するかという点にある。初期費用の安さなどから新規開業のクリニックではクラウド型を選ぶ傾向にあるが、市場全体ではオンプレミス型が依然として優勢を維持している。

 クリニック向け電子カルテシステムでトップシェアを持つPHCメディコム事業部デジケアプロダクト部の名取一博部長は「それぞれのシステムに一長一短がある。医療機関によってニーズも多様なため、これらの形態はそれぞれの特長を生かしながら共存していくのではないか」と語る。以下ではセキュリティー対策の観点から両者の違いを見ていこう。

「閉域網は安全」という考えに7割以上の病院が共感しているが……

 クラウド型はベンダー側にサーバーを設置するため、医療機関はパッチ(修正プログラム)適用などのアップデートを一任できるのが特徴だ。医療機関が対応を忘れる危険がなく、システムが最新の状態に保たれるというメリットがある。ただアップデートは医療機関の業務が空いている夜間などの時間帯に一斉に適用されるのが一般的で、急患対応などがある大型の病院では導入しにくいケースもある。

 インターネットを経由してデータをやりとりするのが前提のクラウド型に対し、オンプレミス型はインターネットへの接続を前提としない。セキュリティーの観点では、患者情報をインターネットに流さない点がメリットといえる。一方で、メンテナンスが面倒というデメリットがある。

 ランサムウエアの主要な感染経路がインターネット経由であることから、オンプレミス型のほうがセキュリティー面で優れていると感じる医療関係者は多い。医療分野のサイバー対策に取り組む「医療ISAC(アイザック)」が2022年1~2月に病院向けに実施したアンケートによれば、7割以上の病院が「(クローズドな)診療系ネットワークは安全であるという考え」に何らかの形で共感していた。

外部と遮断したシステムだからセキュリティーに問題がないと考える「安全神話」への共感は根強い
外部と遮断したシステムだからセキュリティーに問題がないと考える「安全神話」への共感は根強い
(出所:123RF)
[画像のクリックで拡大表示]

 確かに閉域網であれば、パッチの適用などの作業が多少遅れても問題は起こりにくい。だが、電子カルテがインターネットに直接つながっていなければ安全かといえば決してそうではない。

 ネット経由以外でランサムウエアに感染するリスクは依然として残る。目々澤醫院の目々澤肇院長によれば「外注している検査結果がUSBメモリーで送られることも多い」のが現状だという。

 しかも最近は、インターネットに接続された別のシステムとネットワークを相乗りする医療機関が増えている。サイバー犯罪者がこうした別システムの脆弱性を悪用して不正侵入し、横展開して電子カルテを攻撃するケースが最近は目立つ。

 このように電子カルテを取り巻く環境が変化しているにもかかわらず、セキュリティー対策は以前のままという医療機関が多い。実際、ここ数年に生じた医療機関へのサイバー攻撃の事例からは、医療機関が電子カルテなどの基幹システムのアップデートに消極的であることが見て取れる。

 アップデートの副作用で電子カルテに不具合が発生するリスクを避けたい心理や、アップデートの情報が届いていないケースが原因として考えられる。

 こうした課題に対し、オンプレミス型の電子カルテシステムを手掛けるベンダーはどう対応しているのか。病院向け電子カルテで30%超のシェアを持つ富士通Japanは「医療機関ごとに個別にパッチ適用の調整を図り対応している」とし、顧客の事情に合わせたサポートに力を入れている。

 PHCはオンプレミス型の場合であってもシステムのアップデートをインターネット経由で受け取れる設計にしており、医療機関側がアップデートを忘れるリスクを下げるよう工夫している。またOSのバージョンなどをPHC側に通知する仕組みもあり、電子カルテシステムだけではなくPHCから購入したルーターなどのネットワーク機器についても、最新に保たれているかをベンダー側がチェックし個別にサポートできる体制を整えているという。