2022年10月に起きたランサムウェアによるサイバー攻撃で、大阪急性期・総合医療センター（大阪市住吉区）では、攻撃に伴う調査・復旧費用に数億円以上、診療制限に伴う逸失利益として十数億円以上の被害を見込んでいる。甚大な被害を防ぐために病院はどう対応すべきか、再発防止に取り組む同センターの担当者に教訓を聞いた。【構成・兼松昭夫】

地方独立行政法人大阪府立病院機構
大阪急性期・総合医療センター
事務局　経営企画マネージャー 粟倉康之さん
情報企画室サブリーダー　上野山亮さん

大阪急性期・総合医療センターのインシデント概要

■「ベンダーに任せ切り」が医療の継続を脅かす

－データのバックアップや職員への教育、ベンダーとの責任の明確化、ログの管理の徹底など、サイバー攻撃の経験を踏まえて現在はどのような対策を取っていますか。

　外部との接続はいったん遮断した上で、外部接続の厳格な許可基準を設定して順次、再開しているところ。また、システム内の不審な通信を検知する「NDR」や、インシデントの発生を365日・24時間体制で監視して対策立案を支援する「SOC」のサービスも利用を始めた。

　「情報セキュリティインシデント調査委員会」に指摘された脆弱性を改善するため、システムの復旧段階で内部の設定も見直した。現在、次期総合情報システムを調達する準備を進めていて、切り替えの際には、調査委員会に指摘された組織的な課題も改善する。

　医療機関の対策強化を促すため、厚労省が5月末に公表した「医療情報システムの安全管理に関するガイドライン」（第6.0版）では、情報セキュリティー対策に関する機能や仕様などの情報提供を医療機関からベンダー側に求めることとされた。システムの切り替え後は、そうした対応に加え、病院側もチェックリストを作って確認できるようにする。

－インシデントの発生が認められた後に開かれた院内の「事業継続対策本部会議」と、本部会議の議事をまとめた災害対策室のメンバー構成をそれぞれ教えください。

　大規模システム障害の発生時などに開く事業継続対策本部会議の組織図は図の通り。総長・病院長・副院長・看護部長・薬局長・医療技術部長・事務局長ら運営会議のメンバーを中心に、災害対策室長・医療情報部長・各委員会責任者・現場代表者が参集し、状況の確認や対応方針の決定を行った。

　災害対策室のメンバー（当時）は、災害対策室長（救急診療科主任部長と高度救命救急センター長を兼任）・災害担当看護師（DMAT隊員）・災害対策室を兼務する事務職員のほか、DMAT隊員数人で運営していた。

－BCP本部会議は、平時から開かれていますか。

　災害対策室を中心とする対策本部会議は、新型コロナウイルスの感染拡大への対応を決める際などにも必要に応じて開催している。また、災害対策室会議は定期的に開いている。

－サイバー攻撃の経験を踏まえて、現在はどのような対策を取っていますか。

　サイバー攻撃を防げなかった主な原因は、「外部接続管理の不備」と「内部セキュリティー（ウィンドウズの初期設定）の脆弱性」だった。

　専門家からは、

（残り2169字 / 全3444字）