改めて知りたい！病院内のセキュリティ・情報漏洩対策 第01回 インターネットに接続しなければ安全？

Sky株式会社 ICT事業本部 副本部長 金井 孝三 氏

1. インターネットに接続しなければ安全？

電子カルテなどを含めた院内ネットワークのセキュリティ対策には、HIS系（電子カルテ系）と情報系（インターネット系）でネットワークを分離する方法がとられてきました。しかし、サイバー攻撃や院内でのコンピューター利用の増加を背景に、単にインターネットから切り離せば安全という時代ではなくなってきました。今求められている病院の情報セキュリティ対策についてご紹介します。

病院で扱う情報とは

個人情報の中でも医療情報は、その機微性から、管理・運用に特別な配慮が必要とされています。機微な情報とは、個人情報のうち宗教、病歴など、特にプライバシー面での配慮が要求されるデータのことです。
機微な情報の取り扱いについては、個人情報保護マネジメントシステム（JIS Q 15001：2006）ではこのように記載されています。

つまり多くの企業ではできるだけ持たないようにしている機微な情報が、病院で扱うほぼ全ての個人情報に含まれていると言えます。

個人情報保護の観点から、分離される院内ネットワーク

病院では、電子カルテが導入された頃より、個人情報保護の観点からネットワーク分離が行われるようになりました。3つ以上のネットワークに分離される場合もありますが、大きくは電子カルテやPACSデータなどの医療情報をインターネットから隔離させた「HIS系」と、インターネットに接続できる「情報系」の2つに分離されます。ネットワークが分離されると、厚生労働省が定めているセキュリティなどのガイドラインも異なるものが適用されます。

HIS系に適用される「医療情報システムの安全管理に関するガイドライン」の場合、個人情報保護法及びe-文書法が医療分野において執行される際の指針となり、医療情報を取り扱う際の法令の執行基準となります。ガイドライン自体に罰則があるわけではありませんが、ガイドラインを守らずに情報漏洩事故などが起きた場合、「想定できなかった」と言っても責任が軽くなることはありません。たとえ、悪意ある第三者の攻撃によって情報漏洩が起きたとしても、ガイドラインがある以上、「想定外の攻撃だった」は通用しません。
ネットワーク分離をして、HIS系をインターネットから切り離すことで個人情報漏洩やサイバー攻撃などに対し、一定のセキュリティ対策となるのは事実です。
しかし、こうした「物理的なネットワーク分離」には、いくつかの盲点があります。

「HIS系」「情報系」物理的なネットワーク分離における３つの盲点

①「インターネットに直接接続していないHIS系でも、間接的に接続された院外ネットワークによりセキュリティリスクにさらされている点を見落としていませんか？」

HIS系に間接的に接続するのは

• 電子カルテなどのメンテナンスのためのリモート接続VPN装置
• 地域包括ケアのための地域医療連携ゲートウェイ
• 遠隔地バックアップシステム など

これらだけではなく、電子処方せんネットワーク、他にもマイナンバーカードから保険資格情報を確認する「保険資格確認システム」など電子データを利用したネットワークは次々と拡張され、HIS系のコンピューターから接続するネットワークは広がっています。自分たちがいくら強固なセキュリティ対策をしても、もしそのなかの一つでも設定ミスや考慮ミス、脆弱性が放置されていれば、そこからマルウェアに侵入されてしまいます。ネットワークのセキュリティ設定は厳重でも、それらのネットワークには、地域の中核病院から診療所、薬局など多くの組織が接続しています。コンピューターウイルスに感染したファイルがアップロードされたりする場合もあります。ネットワークを分離したと言っても、HIS系のコンピューターは、これらのネットワークに接続しているのです。

②「情報系にも個人情報や重要データのやりとりが存在し、セキュリティリスクが多く潜んでいることを見落としていませんか？」

HIS系と情報系のネットワークを分離し、「情報系には重要なデータや個人情報は保存していないから大丈夫」、と言われる場合があります。重要なデータはHIS系に集約し、メールの送受信や個人情報を含まない業務を情報系で行われる病院も多いでしょう。
しかし、情報系にも個人情報や重要データは存在します。患者データを転院先の病院にメールで送付したり、緊急時の医師の呼び出し・報告のためメールを送付したりするときには、本文に患者情報も記載されます。情報系はHIS系に比べるとあとまわし、となりがちですが、患者情報が多数保有されていると考えて対策する必要があります。

③「USBなど外部媒体を接続してデータを移動するなど、セキュリティリスクを見落としていませんか？

院内ネットワークを分離し、複数存在させると、異なるネットワーク間でのデータの移動ができなくなります。電子カルテの情報を見ながら、メールやWebサイトを見たい、と言う要望は多いでしょう。また、個人のコンピューターを持ち込んで論文を作成している医師は、HIS系にあるデータを使いたいけれどアクセスできない、などの不都合が出てきます。そうなったときに異なるネットワーク間のデータ移動のためにUSBメモリを抜け道のように使われてしまう場合があります。仮想デスクトップ環境（VDI）を使う病院もありますが、そのためにはシステムの導入や多くのコストがかかることもあり、ネットワークを分離すると、USBメモリの利用数は増える傾向にあります。
ネットワークの分離時にはUSBメモリの紛失対策や、全員がいつでも自由にUSBメモリを使える状態は危険だと認識して、ある程度USBメモリの利用制限を行うことも考えていくべきでしょう。

ネットワーク分離と併せて検討したい対策方法

このように、ネットワークの分離は、一見HIS系ネットワークを外部から完全に隔離した安全な技術に見えますが、実際はそれだけでは安心できません。HIS系も情報系も、各コンピューターにセキュリティ対策が必要です。まずは、ネットワーク内に何台のコンピューターがあり、どうなっていて、どう利用されているのか、確認が必要です。管理するコンピューターが10台以上あるなら、資産管理ツールなどで管理をするのが現実的でしょう。それらの情報をもとにセキュリティパッチの適用状況を確認するなど、サイバー攻撃などのセキュリティ対策を実施できます。
また、クラウドで手軽に始められる製品も増えてきましたが、ネットワークから分離されている場合、オンプレミスで利用できる資産管理ツールが必要となりますので、注意が必要です。

• 第02回 少しでも脆弱性の穴を塞いで安全に