宇陀市立病院で発生した電子カルテシステム障害の詳細が明らかになった。ランサムウエアによって1133人分の患者データが暗号化されアクセス不能に。データのバックアップに失敗していたため復旧に時間がかかった。システムログを誤って消去しており、感染経路の特定もできなかった。ルールも含めたシステム運用の不備が問題を深刻にした。
「宇陀市立病院をご利用の患者様・市民の皆様をはじめ多くの病院関係者の皆様に多大なご迷惑をお掛けしましたことを、心からお詫び申し上げます」
宇陀市立病院は2020年2月28日、同院で2018年10月に発生した電子カルテシステムを巡るトラブルに関する報告書を公表した。報告書の冒頭には、奈良県宇陀市の高見省次市長による謝罪の言葉があった。電子カルテシステムがランサムウエアの感染によって2日間使用できなくなり、市長名で謝罪する事態になった。トラブルから約1年半の歳月を経て、経緯やベンダーによるずさんな対応、病院の丸投げ体質が明らかとなった。
管理端末に身代金要求メッセージ
宇陀市立病院は2018年10月1日、業務効率化を目的に大手ITベンダーが手掛ける電子カルテシステムを導入した。紙のカルテの使用をやめ、全診療科で電子カルテを使い始めた。各診療科で使う個別システムを含め総額4億3200万円を投じた。同院は電子カルテシステムのベンダー名を公表していない。システムの導入はその大手ITベンダーの子会社が手がけた。
トラブルが発生したのは新システムの利用開始からわずか2週間後の10月16日のことだった。午前5時40分ごろに病院職員が出勤し電子カルテシステムを確認すると、ログインできなくなっていた。すぐさまベンダーの担当者が病院にかけつけサーバーの再起動を試みたところ、管理画面にウイルスの感染とデータの暗号解除のための身代金を要求するメッセージが表示された。身代金を要求するランサムウエアに感染していたのだ。
ベンダー担当者はウイルスに感染した可能性が高いと判断し、電子カルテシステムを全面停止。サーバ― のLANケーブルを抜きネットワークから切り離した。サーバー内のデータを確認したところ、一部の患者のカルテ情報が暗号化されていたと分かった。
ベンダー担当者は復旧作業に時間を要すると判断し、病院の経営陣に報告。病院は同日の診療を、9月まで利用していた紙カルテで代替することにした。「午前8時の診療開始時間までに紙で運用するよう指示が出たため、当日の外来に大きな混乱はなかった」と、宇陀市立病院事務局の合田憲二次長は当時の状況を振り返る。
その後ベンダーが感染範囲を確認したところ、ランサムウエアに感染していたのは、電子カルテを含む診療部門システムのサーバーが4台、診療部門のクライアント端末が2台、ウイルス対策サーバー1台、、看護部門サーバー1台で、すべて同一のネットワーク内に存在していた。サーバーには10月1日から15日までに来院した患者3835人の診療記録を保存していたが、そのうち1133人分のデータがランサムウエアによって暗号化された。その後の調べで、感染したランサムウエアは2018年に世界中で多くの被害が発覚した「GandCrab(ガンクラブ)」だと分かった。導入するウイルス対策ソフトが最新の状態ではなかったことや、最新だったとしてもこのランサムウエアを検知できなかったことも判明した。
