こんにちは。M&Cパートナーコンサルティング代表の村上佳子です。
今回は、日常運用の中で見落としやすいサイバーセキュリティ対策についてお話しします。
テーマは、
パスワード。
USB。
二要素認証。
アクセスログ。
不要なソフトウェア。
接続元制限。
こう聞くと、少し細かい話に感じるかもしれません。
でも、実はここが現場でとても大切です。
サイバー攻撃というと、ものすごく高度な攻撃を想像しがちです。
もちろん、高度な攻撃もあります。
ただ、実際には、基本的な管理の甘さが入口になることがあります。
たとえば、パスワードです。
電子カルテのログインパスワードを、モニターに付箋で貼っている。
複数のシステムで同じパスワードを使っている。
退職した職員のIDとパスワードがそのまま残っている。
サーバやルータのパスワードが出荷時のまま。
事業者が複数施設で同じパスワードを使っている。
こうした状態は、非常に危険です。
令和7年度版のチェックリストでは、パスワードについて、英数字や記号を混在させた推定困難なものにすること、使い回しを禁止することが確認項目になっています。
ここで大事なのは、単に「長いパスワードにしましょう」という話ではありません。
運用できるルールにすることです。
複雑すぎて職員が覚えられず、結局、紙に書いて貼ってしまう。
定期変更のたびに混乱する。
誰かが代表して全員分を管理している。
これでは、かえって危険です。
パスワードのルールは、現場で守れる形にすることが大切です。
次に、USBなどの外部記録媒体です。
USBメモリは便利です。
データを移す。
資料を印刷する。
業者からファイルを受け取る。
院内外でデータを持ち運ぶ。
しかし、USBはマルウェア感染や情報漏えいの入口にもなります。
医療情報システムにつながるパソコンに、職員が自由にUSBを挿せる状態は注意が必要です。
業務上必要な場合には、使ってよい媒体を限定する。
使用前にウイルスチェックを行う。
使用後の保管方法を決める。
患者情報を持ち出す場合の承認手続きを決める。
こうしたルールが必要です。
「USBは禁止」と言うだけでは現場は回らないこともあります。
だからこそ、禁止するもの、許可するもの、承認が必要なものを分けて考えてください。
次に、二要素認証です。
二要素認証とは、パスワードだけでなく、ICカード、指紋、ワンタイムコードなど、別の要素を組み合わせて本人確認を行う仕組みです。
令和7年度版のチェックリストでは、二要素認証を実装しているか、または令和9年度までに実装予定であるかが確認項目になっています。
ここは、すぐに全システムで対応できるとは限りません。
費用もかかります。
システム改修が必要な場合もあります。
職員の運用も変わります。
ですから、今すぐやるべきことは、事業者に確認することです。
現在の電子カルテは二要素認証に対応しているのか。
対応していない場合、いつ対応予定なのか。
次回更新時に対応できるのか。
サーバ、端末PC、ネットワーク機器の認証はどうなっているのか。
これを今から確認しておく必要があります。
次に、アクセスログです。
アクセスログとは、誰が、いつ、どのシステムにログインし、どのような操作をしたかを記録するものです。
不正アクセスがあった場合、ログがなければ、何が起きたのか追跡できません。
また、院内で不適切な閲覧が疑われた場合にも、ログは重要です。
ただし、ログは取っているだけでは不十分です。
確認できる状態にあるか。
保存期間はどうなっているか。
改ざんされないようになっているか。
誰が確認するのか。
異常があったときにどう対応するのか。
ここまで考える必要があります。
さらに、不要なソフトウェアやサービスも確認しましょう。
使っていないソフトが入ったまま。
不要な通信ポートが開いたまま。
古いアプリが残ったまま。
こうしたものは、攻撃される入口になる可能性があります。
最後に、ネットワーク機器の接続元制限です。
特に無線LANを使っている場合には、誰でも接続できる状態になっていないか確認してください。
来院者用Wi-Fiと医療情報システムのネットワークが適切に分離されているかも重要です。
第5回でやっていただきたいことは、次の5つです。
1つ目。
パスワードの付箋管理、使い回し、共通利用をやめる。
2つ目。
USBメモリなど外部記録媒体の利用ルールを決める。
3つ目。
二要素認証の対応状況と今後の予定を事業者に確認する。
4つ目。
アクセスログが取得・保存・確認できる状態か確認する。
5つ目。
不要なソフトウェアや不要な接続がないか点検する。
日常運用の小さな乱れが、大きなリスクにつながります。
サイバーセキュリティ対策は、特別な日の作業ではありません。
毎日の運用の中に、守るべきルールを組み込むことが大切です。 次回は、最終回として、立入検査で見られる書類、連絡体制図、バックアップ、サイバーBCP、運用管理規程についてお話しします。
