病院で発生した深刻なサイバー攻撃、当事者が被害と対策の全容を語る（3）

嶋津岳士　大阪急性期・総合医療センター　総長
岩瀬和裕　大阪急性期・総合医療センター　病院長
須藤泰史　つるぎ町立半田病院　病院事業管理者
中園雅彦　つるぎ町立半田病院　病院長

未曾有のサイバー攻撃の被害から復活を果たしたつるぎ町立半田病院と大阪急性期・総合医療センター。第1回・第 2 回では発生前の状況から発生後の対応について話を伺いました。第 3 回では、当事者のメンタルケアや今後のセキュリティ強化に向けた話題が聞かれました。

聞き手：萩原健太（一般社団法人 ソフトウェア協会）

このインシデントは「他人事」ではない

――2ヶ月間、電子カルテが使えず、紙のカルテで乗り切ってみていかがでしたか？

岩瀬（大阪急性期・総合医療センター）： 大変だったのは、基幹システムが戻ったからといって、すぐに医療規模が戻るわけでないことです。他の病院からの紹介で、当院が担当している患者については、診療や経過観察の流れが断たれてしまうのが痛い。それにより、後々まで大きな影響が残ります。

嶋津（大阪急性期・総合医療センター）： 電子カルテがストップして、否応なしに紙カルテに切り替えました。2ヶ月ぐらい経って、部分的に電子カルテに戻そうと思ったら、そんなに簡単なものではなかった。部門によって移行のスピードに差があったので、原状回復に時間を要しました。

――その 2 ヶ月間でクレームなどはありましたか？

嶋津： 紙のカルテにすると記録が電子媒体に残りません。電子カルテの再開後、紙カルテはスキャンして保存していますが、画像情報としてしか診療記録が残らないのは、やはり不便ですね。

岩瀬： 完全に戻るまでの間は、どこか1ヶ所が戻りきっていないと周りが待つ状態になります。先に回復した部門からすると、どうしても苛立ちがあったかと思います。

中園（つるぎ町立半田病院）： 当院も同じような状況で、一度にすべての状況が回復するわけではありませんでした。さまざまな不具合があり、職員たちもフラストレーションを抱えていたと思います。役場からパソコンやコピー機を借りて使っていましたが、その後紙カルテをスキャンする作業が大変でした。

災害対策本部では各部署の復旧状況をわかるようにしたことで職員のフラストレーションを少しは抑えることができたかなと思います。

須藤（つるぎ町立半田病院）： 医事課などはレセプトが出来ず、全く違う仕事をするから、「早くレセプトをやらせて！」という声が上がってきました。医師は紙カルテでも目の前に患者がいれば一生懸命診察ができますが、事務関連の職員は普段と違う仕事をすることでフラストレーションが溜まっているようでした。やはり多職種のいる病院では、こういったインシデントが起きることで人間関係がギクシャクしてしまう部分がありますが、小規模な病院であったからこそ、それをみんなで話し合いながら乗り越えられたのは良かったと思います。

――そういった事例を聞くとメンタルケアの重要性を感じますね。

岩瀬： 当院でも定期的にメンタルに関するチェックを行っており、有事の際に担当者が責任を感じ過ぎないように注意しています。

――インシデントが発生後、病院ではどのような対策を講じていますか？

須藤： インシデント発生後有識者の方に指摘されたことを受け入れてベンダーと交渉し、2023年 12 月中に電子カルテを 2 日間止めて、 ID やパスワード、内部のセキュリティをアップデートする予定です（取材は 2023 年 11 月に実施）。そこまでやって、やっと外部に繋げる前段階になります。

強固なセキュリティ対策になりますが、新たなサイバー攻撃の手口が出たときには次の対策を講じなければいけません。そのためにも情報収集とバックアップは必須です。今は電子カルテが感染した時でも使える簡易のバックアップシステムで、有事の際にどのような情報が取り出せて医療を継続できるかということを確認しているところです。

中園： 電子カルテのセキュリティを厳重にすると動きが悪くなるのですが、定期的なパスワード変更などの対策にもみな快く対応してくれています。

嶋津： 当院では、情報セキュリティインシデントの外部委員として、大阪大学の猪俣教授を中心にしたグループに詳細な報告書を制作していただきました。そこでさまざまな課題や問題点を指摘され、できるものについては次々と実行しています。

現時点では安全性が高い環境を作ることができていますが、今後、やはり状況も変わっていくので臨機応変に対応しなければなりません。2024年には次期のコンピュータシステムが導入されるので、データを引き継ぎ、世の中の変化に対応するにはどうすればよいか、ガイドラインの準拠や経済的なサポートをどうするかといったことは優先して考えたいところです。

岩瀬： 今回のインシデントを経験し、指摘されたことを受け入れて、やっと新たな一歩を踏み出すことができました。例えば、前から言われていた「ITガバナンスの一歩目は情報資産の管理です」という意味も、今回のような痛手を経験して実感できました。また、チェックリストの運用イメージもやっとでき上がりました。今後はそれに従って環境を整え、進めていくしかないと思っています。

――今回のようなインシデントを経験されて読者に伝えたいことは？

岩瀬： もし少しでもシステムの異変を感じたら、担当者に確かめる。担当者が分からなければ、専門家に確かめてもらう。特に初動に対する意識改革をしなければ新しい一歩は踏み出せないと思います。異変に対し処置できなくても、せめて大きな声を上げて知らせることが重要です。

須藤： 我々がサイバー攻撃を受けてから厚生労働省・総務省・経済産業省のガイドラインも変わり、「情報セキュリティをユーザーに伝えるような仕組みを組織内に持ちなさい」といったべンダーに対してもより厳しい内容になりました。初動対応に関する重要性も記載されています。並行して現在、国が医療DXを進めているので、ゆくゆくは電子カルテの共通化、あるいは個人がデータヘルスのレコードを持ち歩いて、どの病院でも同じ内容の診療が受けられるようになるでしょう。

そうなるとますますセキュリティの重要性が高まると思いますし、今は法整備も含めて変化に向けた過渡期であると思います。我々もその波に乗り遅れないようにしなければと思っています。

中園： 最近よく「どのセキュリティソフトを入れたらいいんですか？」ということを聞かれるのですが、私としては、最新式にして、バージョンアップを欠かさないようにしてくださいとしか言えません。ですから、ソフトウェアの開発元やベンダーには、もっと伝わりやすい言葉で「このセキュリティソフトは、この設定をしていれば大丈夫です。」と示してくれることを願っています。

嶋津： 我々も痛い目に遭って深刻さが身にしみたところですが、みなさんにも他人ごとではなく、危機感や想像力を持って、自分ごととして捉えていただきたい。この記事でサイバー攻撃の影響力を知っていただけたら本望です。

以上、3回に渡り実際にサイバー攻撃を受けた病院の当事者よりインシデント発生による被害状況の深刻さや、その後の対応、今後の備えなどについてお話しを伺いました。本記事の内容を受け、サイバー攻撃への対策が決して他人事ではない、病院運営における最重要課題であることをご理解いただき、しかるべき対応を検討いただければ幸いです。