« FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION | Main | CIAのハッキンググループ(APT-C-39)が中国の重要産業に対して11年間サイバースパイを行っていた? »

2020.03.04

宇陀市立病院コンピューターウイルス感染事案に係る安全確認の公表及び報告

こんにちは、丸山満彦です。「宇陀市立病院コンピューターウイルス感染事案に係る安全確認の公表及び報告」が公表されていますね。有識者会議の議長は上原教授ですね。。。

 

宇陀市立病院

・2020.02.28 宇陀市立病院コンピューターウイルス感染事案に係る安全確認の公表及び報告

 

・[PDF] 安全確認の公表

宇陀市立病院コンピューターウイルス感染事案に関する報告書

 ・[PDF] 概要版

 ・[PDF] 報告書

 

=====

【原因1】
本来はインターネットに接続していない環境にあった医療情報ネットワークに、病院職員もしくは委託業者などの誰かが、何らかの「ルール違反」を犯してインターネットに接続したことにより、何らかの方法により外部からの侵入を許してしまったこと。

【 原因2】
医療情報システムの導入にかかる業者の管理や障害時対応の適切な運用体制が構築、運営されておらず、監督すべき病院のガバナンス※に問題があったこと。

=====

 

 

提言1 医療情報システム運用管理規程の見直し、遵守徹底 等のガバナンスの強化

①組織の見直し

◇ 従来の運用管理規程・運用体制では、今回発生したようなインシデントへの具体的な対応を想定できていなかったため、医療情報システム責任者の明確化、専門職員の配置、市・病院幹部も関与する体制に見直しました。

◇ 平成31年4月から「情報システム管理委員会」を設置し院内の管理体制を見直しました。

◇ 規程の見直し、周知・教育の実施、実施状況の自己(相互)点検、監査による外部評価の4つを継続的に情報システム管理委員会で協議し、医療情報システムのセキュリティレベルの向上を図ります。

②緊急時における対応の見直し

◇医療情報システムの障害発生時の初期対応及び適切な対処手順である「情報システム障害時対応マニュアル」を策定しました。

◇「情報システム障害時対応マニュアル」により緊急時連絡体制、トラブル発生時の診療体制の確保を図ります。また、緊急時に備えた定期的訓練等を実施します。

③職員研修・訓練

◇病院職員の危機意識の醸成が重要であり、医療情報システムの利用者全員が、常に危険にさらされているシステムを常時利用していることを十分に意識付け、障害発生時には即時に報告・対応できるように、セキュリティに対する正しい知識と経験を身につけさせます。

◇研修・訓練を通して、システム運用の管理監督の立場にある責任者の危機管理能力の向上を図ります。

④運用管理規程と運用管理体制の見直し

◇「医療情報システムの安全管理に関するガイドライン第5版(厚生労働省)」を参考に運用管理規程を全面的に見直しました。

◇情報セキュリティに対するガバナンスや対応、訓練、教育の根拠とすべき運用管理規程の見直しを 行い、最新の運用管理規程により職員への周知・教育を実施します。

◇本件事案については、運用管理規程の周知や遵守が病院職員に徹底されておらず、宇陀市・宇陀市立病院の管理体制にも問題があったため、運用管理規程の見直しとともに管理体制を強化しました。

⑤セキュリティ監査の見直し

◇ 宇陀市立病院情報システム内部監査規程に基づき、医療情報の安全管理が適切に運用されていることを確認するため、情報システムに関する監査を実施します。

◇ 監査責任者から監査結果の報告を受け、問題点の指摘等がある場合には、直ちに必要な措置を講じます。

◇第三者的立場から内部監査の適正な実施について外部監査を行い確認します。

 

提言2 医療情報システムのみならず、院内情報システム全体への技術的対策の強化

①短期的な対策

◇調査結果では、外部のネットワークにつながっていない環境にもかかわらず、外部から攻撃を受けた可能性が高いことが明らかになりました。

◇感染経路については、調査をしても判明しなかったため、想定される感染経路を想定しシステム的対策を講じました。

②中長期的な対策

◇今回の調査の過程で、本件事案の原因とはいえないものの、間接的にあるいは潜在的にリスクとなりうる事項が判明したため、それらについては、今後のウイルス攻撃への中長期的対策として順次、計画的に実施していきます。

 

提言3 市民に向け、本件事案及び対策についての報告書の作成・公表

◇本報告書は有識者会議の提言書を踏まえ、患者・市民の皆様に本件事案の調査結果、被害状況の実態及び再発防止策の対策状況、今後の対策方針を示すものです。

◇ ウイルスがどのようにして端末に侵入したかの侵入経路は、機器を初期化したことによりログが残っていないため、調査をしても判明しませんでした。こうしたことから、個人情報の漏洩については明確にすることができない状況であり、患者様・市民の皆様をはじめ多くの病院関係者に不安を抱かせました。

◇令和2年2月現在、個人情報が流出したという情報はありませんが、今後も引き続き
動向に注意していきます。

|

« FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION | Main | CIAのハッキンググループ(APT-C-39)が中国の重要産業に対して11年間サイバースパイを行っていた? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION | Main | CIAのハッキンググループ(APT-C-39)が中国の重要産業に対して11年間サイバースパイを行っていた? »