全国で医療機関を狙ったサイバー攻撃が頻発し、鹿児島県内の関係者は警戒を強めている。地域医療の中核を担う公立病院は、医療情報システムの委託業者に注意喚起したり、最新のウイルス対策ソフトを導入したりするなどセキュリティー対策を再確認。被害リスクの軽減を図るが、専門性の高さなどから業者に依存せざるを得ないのが現状で、対応に苦心している。

　昨年１０月末、大阪市の大阪急性期・総合医療センターがサイバー攻撃を受けた。電子カルテが利用できなくなり、手術や外来診療を一時停止。診療に必要なシステムの全面復旧に時間がかかり、通常体制への復帰までに約２カ月を要した。

■身代金要求型

　攻撃は身代金要求型のコンピューターウイルス「ランサムウエア」。電子カルテなどのデータを暗号化して使用できなくし、復旧と引き換えに金銭を脅し取ろうとする。２０２１年１０月末、徳島県の町立病院が攻撃を受けて注目を集めた。

　「対策に１００％はない。常に緊張感を持っている」。鹿児島市立病院医事情報課の片野田康之課長は力を込める。１日平均約８００人の外来患者が訪れ、手術件数は年間約６１００件（２１年度）に上る。システム障害によって“機能停止”に陥れば影響は甚大だ。

　医療機関では、電子カルテなどの医療情報システムが、インターネットとは分離されているのが一般的。だが、業者が遠隔で保守するための接続経路が設置されていることが多く、全国の被害はそのＶＰＮ（仮想専用線）機器の欠陥を突かれる例が目立っている。

　大阪の事案を受け、市立病院はシステムの保守管理を委託する業者らに改めて確認を取り、院内のセキュリティー状況を把握。片野田課長は「現時点で想定される脅威への対策は講じられている」と強調する。

■保守回線を一本化

　県内５カ所の県立病院では、本年度の電子カルテシステム更新に合わせ、最新のウイルス対策ソフトを導入。外部からのウイルスの侵入リスクを最小限にするため、電子カルテや検査など各種システムごとにあった保守回線を一本化した。

　万が一ウイルスに感染した場合に備え、従来のサーバーでのバックアップに加えて、ネットワークから切り離した磁気テープに患者データを保存。県立病院課は「システム障害時は紙カルテでの対応を想定する。業務継続に支障がないよう努める」とする。

　ただ、医療情報システムの担当職員は各病院１人で他の業務との兼務。現場の人員は十分とはいえず、現状は業者のシステムエンジニアが５病院を担当する。「コスト的に病院に専門人材を配置するのは難しい」と同課の担当者。

　企業や団体の情報セキュリティーを支援する「鹿児島県サイバーセキュリティ協議会」の西川彰代表理事は「例えばサーバーやネットワーク機器にはライフサイクルがあり最新の状態かは確認が必要。業者との間で役割や責任を明確化しておくべきだ」と指摘する。

　全国での被害を踏まえ、協議会は医療機関を対象にした無料のリスク評価を期間限定で実施する。西川代表理事は「研修会の開催などを含め外部の専門家をうまく活用することも被害リスクの軽減につながる」と話した。