サイバーセキュリティ緊急事態におけるリスク・コミュニケーション

サイバーセキュリティ緊急事態における
リスク・コミュニケーション
近畿地区協議会サイバーセキュリティ演習研究会主任研究員
認定登録医業経営コンサルタント小川敏治
HISフォーラム2021「戦略としてのリスクマネジメント広報セミナー」
～災害や感染等、予期せぬ事態におけるコミュニケーションを考える～
2021年11月20日(土) 15:10～15:45
Ver 1.2

０．はじめに
1
まず、医療機関におけるサイバー攻撃事例を紹介し、サイバー攻撃のリスク特性を
説明します。次に、サイバーセキュリティ緊急事態に関連する関係法令・ガイドライン
について、解説します。その上で、サイバーセキュリティ緊急事態対応に関して、ソー
シャル・ネットワーキング・サービス（SNS）時代における広報のリスク・コミュニケー
ションについてお話します。
最後に、「サイバー攻撃を100％防ぐことはできない。」（内閣サイバーセキュリティ
センター）ため、サイバー攻撃を防ぎきれず、診療業務に影響が発生することを前提
に、当協会で開発した「サイバーセキュリティ机上演習シナリオ」を活用することにより、
業務継続計画（BCP）等を事前に検証することの有用性についてもお話しします。
注．他の文献からの引用は、このように点線黒線枠で囲むと共に、脚注をつけて引用文献リスト（別紙）に記載しました。

2
１．サイバーセキュリティと医療機関
（１）医療機関におけるサイバー攻撃事例
（２）サイバー攻撃のリスク特性
（３）関係法令・ガイドライン
２．ソーシャル・ネットワーキング・サービス（SNS）時代における広報
（１）院内外のリスク・コミュニケーション
（２）広報のリスク・コミュニケーション
（３）事前検証の有用性
３．まとめ

3
(1) 医療機関におけるサイバー攻撃事例
国内における医療分野でのランサムウエアの感染被害の公表事例
（１）奈良県宇陀市立病院 (2018年10月)
① 電子カルテのデータが暗号化され使用不能。
② 復旧に必要なバックアップデータがとれていなかった。
③ 前月まで運用していた紙カルテで代替。
（2）大阪府市立東大阪医療センター (2021年5月)
① 医用画像参照システムサーバのデータが暗号化され使用不能。
② 復旧に必要なバックアップデータも暗号化。
③ 患者の予約日の変更、他院の紹介及び画像等の撮り直し。
（3）徳島県つるぎ町立半田病院（2021年10月）
① 電子カルテのデータが暗号化され使用不能。
② バックアップサーバや会計システムもダウン。
③ 新規外来患者の受入れ停止、手書きでカルテに記録、休日診療は近隣の病院が肩代わり。
サイバー攻撃による病院の診療業務に影響！⇒ 医療安全上の緊急事態に至る
自院の診療機能低下を地域の
医療機関との連携で対応
注．自院でBCPをいくらしっかり
作っていても、自治体や周りの
病院それぞれが、どのような
BCPを作っているのかを共有し
ていなければ、地域全体の医療
提供体制を整備するのは難しい。

4
（参考）ランサムウェアとは？
(1) IPA 情報処理推進機構情報セキュリティ10大脅威 2021
引用文献リスト注１
圏外

5
■ ランサムウェア(Ransomware)：
「Ransom（身代金）」と「Software（ソフトウェア）」を組み合わせて作られた造語。
＊2
（暴露脅迫）
（身代金脅迫）
脅迫画面表示例
(2) ランサムウェアによる被害

6
（3）市立東大阪医療センター
にて発生 (2021年5月)
(3) 攻撃の手口

7
■身代金を払ったことを公表した日本企業はまだないが、・・。
標的がインフラや生活産業、大手サプライチェーンなどに広がり、個人情報や機密データを奪うなど悪
質な攻撃が急増している。
急ぎ対応しなければ顧客や取引先にも被害が及びかねない。企業は自社の信用低下を避けようと被
害隠蔽を図り、支払いに応じてしまう。
経営に重要な影響を及ぼす金額なら開示義務が生じるが、少額なら営業外費用などとして処理され、
外部からは分からない。（非上場の中小・零細企業の支払いも多いのではないか?）
安易な支払いは脅迫行為を勢いづかせ、サイバーテロの温床となりかねない。引用：日経新聞2021.09.20.
約2400社
（従業員200人以上）
約410社
約260社
約220社
約50社
日本でも被害を受け
た内、３3％が支払っ
ている。
(4) サイバー身代金、支払い5割金額急増し攻撃に拍車

8
■ ランサムウエアの被害は、一時減ったが、再び勢いを増している。
侵入口となるデータは「初期アクセス」と呼ばれ、パソコンを遠隔から操作する「リモートデスクトップ」
や、社外から社内システムにつなぐVPN（仮想私設網）などへのログイン認証情報が、匿名性の高い闇サ
イト群「ダークウェブ」上で売りに出されている。
初期アクセスの売買を担う専用ブローカーが台頭しており、ランサム攻撃は一層拡大する恐れがある。
引用：日経新聞2021.08.01.
(5) サイバー攻撃、進む分業「侵入口」100ドルで闇取引

9
■ ランサムウエア攻撃を支援するクラウドサービスRaaS
RaaSを利用すれば、手間をかけずにランサムウエア攻撃を仕掛けられる。
盗んだデータを公表する場や、データを暗号化するランサムウエアを利用者となる攻撃者に提供。さら
に大量のデータを送信するDDoS攻撃を仕掛けたり、脅迫電話をかけたりする機能も提供する。
利用者は、RaaSが用意する管理パネルから様々な機能を利用できる。身代金の支払先もRaaSが
用意する。このため身代金の支払い状況も管理パネルで確認できる。
尚、RaaSの料金は成功報酬型（身代金の10%～30%）引用：日経クロステック2021.08.25.
RaaS管理パネルの事例
反社会的なビジネスとして、専門特化・分業化が進み、今後さらに、サイバー攻撃の被害が拡大！
(6) RaaS（ランサムウエア・アズ・ア・サービス）

10
３．まとめ

11
(2) サイバー攻撃のリスク特性
2018年10月16日（火) 宇陀市立病院事案発生当日のタイムライン
引用文献リスト注２
時刻誰が何を誰に
05：40 １職員が電子カルテのデータが参照出来ないことに気づき、開発会社に連絡。
2 開発担当者が電子カルテ・サーバ画面にウイルス感染を示す
メッセージの表示を確認したため、
その旨を職員に連絡。
3 職員がその旨を上司に連絡。
4 上司がその旨を経営幹部に連絡。
５経営幹部がシステムを全面停止し、ネットワークからの物理的遮断
（コンピューターの LANケーブルを抜く）ことを判断し、
職員に指示。
08：00 ６経営幹部が復旧作業に時間を要すると判断し、先月まで使用して
いた紙カルテ、伝票運用による診療を行うことを決定し、
各部門責任者に指示。
17：30 ・開発担当者が電子カルテシステム障害に関する状況報告や、再セット
アップによる復旧見込みが約２日間を要することなどを
経営幹部に説明。
・病院長が各部門システムに対するウイルスチェック等の対応を各部門システム開発会
社に指示。
・病院長が安全を確認して復旧するとともに、証拠保全するように電子カルテ開発会社に
指示。
自然災害と異なり、
因果関係が見えにくい
発覚

12
３．まとめ

13
(3) 関係法令・ガイドライン
（ⅰ）厚労省「医療機関等におけるサイバーセキュリティ対策の強化について」（2018.10.29.）
（ⅱ）厚労省「医療情報システムの安全管理に関するガイドライン第5.1版」（2021.01.29.）
（ⅲ）厚労省「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」（2021.06.28.）
（ⅳ）厚労省「医療情報システムの安全管理に関するガイドライン第5.1版」に以下を追加。
「医療機関のサイバーセキュリティ対策チェックリスト」及び
「医療情報システム等の障害発生時の対応フローチャート」について（2021.10.20.）
（ⅴ）個人情報保護委員会「改正個人情報保護法」（2022.04.01.施行）
ガイドライン
に追加
ガイドライン
に紐付け
法律
＊
＊本ガイドラインは、医療機関等における電子的な医療情報の取扱いに係る責任者を対象とする。

14
（ⅰ）厚労省「医療機関等におけるサイバーセキュリティ対策の強化について」（2018.10.29.） (1/2)
都道府県、保健所設置市及び特別区医政主管部（局）長宛
１．「医療情報システムの安全管理に関するガイドライン」の周知徹底について
① 管内の医療機関等に対して、ガイドラインの更なる周知徹底を図るとともに、
② 医療機関等において、コンピュータウイルスの感染などによるサイバー攻撃を受けた疑いがある場合、別紙
（次スライド参照）を活用して、直ちに医療情報システムの保守会社等に連絡の上、速やかに当該医療機関
等から、厚労省医療技術情報推進室に連絡を行うよう、注意喚起をお願いいたします。
２．情報セキュリティインシデント発生時の国への報告について
① 管内の医療機関等において、サイバー攻撃を受け、個人情報の漏洩や医療提供体制に支障が生じる又はそ
のおそれがある事案を貴自治体が把握した場合、速やかに医療技術情報推進室に報告を願いいたします。
３．情報セキュリティインシデントが発生した医療機関等に対する調査及び指導について
① サイバー攻撃を受けた医療機関等に対し、必要に応じて、被害状況、対応状況、復旧状況、再発防止策等に
係る調査及び指導を行い、医療技術情報推進室に報告を願いいたします。
４．医療分野におけるサイバーセキュリティの取り組み（医療セプター）との連携について
① 医療セプターの構成員団体は都道府県支部等を通じて会員施設との情報共有を行っている場合もあるた
め、地域の医療関係団体を通じて医療セプターの活動に連携・ご協力をいただきますようお願いいたします。
引用文献リスト注３
宇陀市立病院
事案発生により
事務連絡

15
（ⅰ）厚労省「医療機関等におけるサイバーセキュリティ対策の強化について」（2018.10.29.） (2/2)
引用文献リスト注３

16
引用文献リスト注４
（ⅱ）厚労省「医療情報システムの安全管理に関するガイドライン第5.1版」（2021.01.29.） (1/2)

17
（ⅱ）厚労省「医療情報システムの安全管理に関するガイドライン第5.1版」（2021.01.29.） (2/2)
6.10. 災害、サイバー攻撃等の非常時の対応（C．最低限のガイドライン）
1.医療サービスを提供し続けるための事業継続計画（BCP：Business Continuity Plan）の一環として、
“非常時”と判断するための基準、手順、判断者等及び正常復帰時の手順をあらかじめ定めておくこと。
2.非常時における対応に関する教育及び訓練を従業者に対して行うこと。
3.正常復帰後に、代替手段で運用した間のデータ整合性を図るための規約を用意すること。
4.非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
(1) 「非常時のユーザアカウントや非常時用機能」の管理手順を整備すること。
(2) 非常時機能が定常時に不適切に利用されることがないようにするとともに、もし使用された場合に使
用されたことが検知できるよう、適切に管理及び監査すること。
(3) 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができないように変更すること。
(4) 医療情報システムがコンピュータウイルス等に感染した場合に備えて、関係先への連絡手段や紙での
運用等の代替手段を準備すること。
5. 「医療機関等におけるサイバーセキュリティ対策の強化について」（2018.10.29.）に基づき、所管官庁への
連絡等、必要な対応を行うほか、そのための体制を整備すること。また上記に関わらず、医療情報システムに
障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
前述の（ⅰ）を当ガイドラインに紐付け
BCPの文書自体はあるが、
本当に機能するのか？

18
（ⅲ）厚労省「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」（2021.06.28.）
引用文献リスト注５

19
（ⅳ）厚労省「医療機関のサイバーセキュリティ対策チェックリスト」について(2021.10.20)
ガイドライン
に追加
確認する主体ごとに「経営層」、「システム管理者」、「医療従事者・一般のシステム利用者」向けの 3 種
類で、予防・発見・是正の視点でチェック項目が設けられている。

20
（ⅳ）厚労省「医療情報システム等の障害発生時の対応フローチャート」について(2021.10.20)
ガイドライン
に追加
平時のサイバーセキュリティの体制整備から、異常等の検知→初動対応→復旧処理→事後対応の手
順をフローチャートで可視化している。

21
（ⅳ）個人情報保護委員会「2021年改正個人情報保護法」（第一弾施行：2022.04.01.）
引用文献リスト注７

22
（ⅳ）個人情報保護委員会「2020年改正個人情報保護法」（施行：2022.04.01.）
～主な改正（6分類15テーマ）～
引用文献リスト注６
サイバーセキュリティ

23
引用文献リスト注６
（ⅳ）個人情報保護委員会「2020年改正個人情報保護法」（施行：2022.04.01.）
＜個人情報保護委員会への漏えい等報告・本人への通知の義務化＞
人数個人データ
１人～
(1) 要配慮個人情報（規則6条の2第１号）
(2)不正に利用されることにより財産的被害（規則6条の2第2号）
(3)不正の目的をもって行われた（規則6条の2第3号）
千人超 (4)上記以外（規則6条の2第4号）
１．【報告対象事態】以下の漏えい等（漏えい、滅失若しくは毀損）が発生し、又は発生したおそれがある事態
原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行う。
２．【速報・確報の２段階報告】
(1)速報＝当該事態を知った時点から概ね 3～5日以内。（その時点で把握している事項のみで可）
(2)確報＝当該事態を知った時点から30日以内(注) 。（報告事項の全9項目）
注.不正の目的の場合は、60日以内。
事例1）不正アクセスにより個人データが漏えいした場合
事例2）ランサムウェア等により個人データが暗号化され、復元できなくなった場合

24
３．まとめ

25
(1) 院内外のリスク・コミュニケーション（1/2）
病院長
事務部
診療部
看護部
医療技術部
医療連携室
経営企画課総務課医事課
総合内科消化器内科呼吸器内科
血液内科循環器内科神経内科
腎臓内科外科呼吸器外科
心臓血管外科脳神経外科整形外科
形成外科産婦人科小児科
泌尿器科緩和ケア科皮膚科
麻酔科リハビリテーション科
耳鼻咽喉科救急総合診療科眼科
外来手術室病棟
放射線科薬剤科栄養科
臨床検査科臨床工学科
副病院長
情報システム室
広報室
病院長
副病院長
事務部長
診
療
部
長
看
護
部
長
医
療
技
術
部
長
医
療
連
携
室
長
広
報
室
長
情
報
シ
ス
テ
ム
室
長
診療体制（例）危機管理本部（例）
発覚
（仮称）
危機管理
マニュアル
（BCP）
BCPに基づき、
緊急事態対応

26
病院長
事務部長
診
療
部
長
看
護
部
長
医
療
技
術
部
長
医
療
連
携
室
長
広
報
室
長
情
報
シ
ス
テ
ム
室
長
危機管理本部（例）
住民
報道機関
医療機器
システム開発
○○新聞社
○○テレビ
IT系雑誌社
地域住民
基幹システム開発会社
部門システム開発会社
医療機器関係会社
サイバーセキュリティ
個人情報
医療
厚生労働省
内閣サイバーセキュリティセン
ター（NISC）
JPCERTコーディネーション
センター（JPCERT/CC）
個人情報保護委員会
都道府県、保健所設置市及び
特別区医政主管部（局）
近隣の医療機関
地域連携協議会
（地域連携センター）
副病院長
院内のリスク・
コミュニケーション
院外とのリスク・
(1) 院内外のリスク・コミュニケーション（2/2）
都道府県警察本部
注．自院でBCPをいくらしっかり作っていても、自治体や周りの病院それぞれが、どのようなBCPを作っているのかを共有していなければ、
地域全体の医療提供体制を整備するのは難しい。

27
３．まとめ

28
(2) 広報のリスク・コミュニケーション（1/3）
再来
受付機
○時○分状況変化 [SNS]
・再来受付機の脅迫画面
写真をアップ！
患者
△時△分状況変化[SNS]
・デマや悪質な誤情報
の拡散
報道機関
□時□分状況変化[取材依頼]
・SNSで騒がれているようですが、・・。
☆時☆分状況変化
[クレーム]
住民
住民
娘、息子から
聞いて
SNSにより、デマや悪質な誤情報拡散で、騒ぎが拡大
病院長
事務部長
・
・
・
・
広
報
室
長
副病院長
・
・
・
・
住民
報道機関
○○新聞社
○○テレビ
IT系雑誌社
地域住民
院外との

29
【緊急時の広報対応】
原則１．情報の「送り手」が気をつけること
① リスクの指摘だけで終わらせない
② 双方向の情報のやりとりを心がける
③ 分かりやすい言葉や表現に
④ できるだけビジュアルに具体的に
⑤ 繰り返す
⑥ 情報の目的を明確にする
⑦ 受け手の特性を考える
原則2．「情報飢餓にしない」を念頭におく
① 「時間」を常に計算する
② 情報は継続的に出していく
③ 院内の価値観や慣例が通用するとは考えない
④ 報道機関対応はすべて記録に残す
⑤ 緊急時の報道機関差別は厳禁
病院長
事務部長
・
・
・
・
広
報
室
長
副病院長
・
・
・
・
住民
報道機関
○○新聞社
○○テレビ
IT系雑誌社
地域住民
院外との

30
【緊急時の広報対応】
原則3．報道機関の関心事を理解しておく
① 何が起こったのか（事実）
② 今、どうなっているのか（経過と現状）
③ なぜ起きたのか（原因）
④ これからどうするのか（対応策）
⑤ この事態をどう思っているのか（コメント）
⑥ 過去に類似のケースはなかったか
原則４．電話取材への対応
① 危機発生初期はかけ直しを原則
② 窓口は一本化し、相手を確認して記録
原則5．自院のメディアを活用
① 公式発表、公式見解は、自院のホームページで
② 自院のソーシャルメディアで逐次情報開示、デマや悪質
な誤情報拡散の対応
病院長
事務部長
・
・
・
・
広
報
室
長
副病院長
・
・
・
・
住民
報道機関
○○新聞社
○○テレビ
IT系雑誌社
地域住民
院外との

31
ソーシャルメディアの留意点（1/2）
（１） SNSで情報発信を行う医療機関も増えていますが、不適切な投稿など発信する内容を誤ってしま
うと風評被害や炎上によって診療業務に深刻な被害をもたらしてしまう恐れがある。
（２）そうした事態を防ぐために平時から、「ソーシャルメディアポリシー」を職員に浸透させておくと共に、
自院のホームページで公表しておくことが望まれる。
I. 自病院内外の人々に、自病院のソーシャルメディアを使用する目的、姿勢を理解してもらう。
II. 万が一の為に、「当院に関するソーシャルメディアから発信された情報が、すべて当院からの公式な
見解を示すものではありません。」を告知しておく。
III.さらに、自病院の公式な発表は、管理下にあるウェブ・サイトと限定しておく。
IV.また、出来れば、自病院の公式なソーシャルメディア・アカウントを公表し、それ以外は、個人的なも
のとして区分を明確にしておく。
V. 最後に、「お問い合わせは、問い合わせフォームよりお問い合わせください。」としておく。

32
○ ○ ○ ○病院ソーシャルメディアポリシー（例）
○ ○ ○ ○病院（以下、当院）のソーシャルメディア・アカウントにおいて、以下に定める心構えやルールを遵守します。
目的
当院は、当院に関わりのあるすべての方に対し、来院しやすく親しみやすい病院であることを目指し、ソーシャルメディアを使
って、広く情報発信を行います。その際に守るべき基本的な心構え・ルールを以下のとおり定めます。
○ 頂いたご意見は良く聞く
○ 情報発信した内容に責任をもつ
○ 個人的な意見と病院からの情報発信が混同されるような記載はしない
○ 情報を引用した場合は、引用元を明らかにする
○ 公序良俗に反しない
○ コンプライアンスを意識する
当院の公式ソーシャルメディア・アカウント一覧は、こちらです。
ソーシャルメディアで当院に関わる情報を入手された方へ
当院に関するソーシャルメディアから発信された情報が、すべて当院からの公式な見解を示すものではありません。あらかじ
めご了承ください。正式な公表については、当院のホームページをご参照ください。
また、当院のソーシャルメディアは情報発信専用です。利用者から投稿されたコメントに対する返信はいたしませんので、ご了
承ください。
お問い合わせは、右の問い合わせフォームよりお問い合わせください。
平成○ 年○ 月○日制定
問い合わせフォーム
ソーシャルメディアの留意点（2/2）

33
３．まとめ

34
(3) 事前検証の有用性
■ 厚労省「医療情報システムの安全管理に関するガイドライン第5.1版」（2021.01.29.）
6.10. 災害、サイバー攻撃等の非常時の対応（C．最低限のガイドライン）
1.医療サービスを提供し続けるための事業継続計画（BCP：Business Continuity Plan）の
一環として、“非常時”と判断するための基準、手順、判断者等及び正常復帰時の手順をあらかじ
め定めておくこと。
2.非常時における対応に関する教育及び訓練を従業者に対して行うこと。
■ サイバー攻撃を防ぎきれず病院の診療業務に影響が発生することを前提に、病院の
組織横断的な医療安全リスクマネジメントが機能するかどうか?を事前に検証してお
くことが必要不可欠。
■ 事前検証 ⇒ サイバーセキュリティ机上演習シナリオ（ロールプレイング）
■内閣サイバーセキュリティセンター
「サイバー攻撃を100％防ぐことはできない。」
BCPの文書自体はあるが、
本当に機能するのか？

35
サイバーセキュリティ机上演習シナリオ
(1) 2018年度調査研究事業で開発
ご賛同・ご協力病院(９病院)
外部有識者（９名）
・国立情報学研究所
サイバーセキュリティ研究開発センター
・一般社団法人JPCERT/CC
・NPO日本ネットワークセキュリティ協会
・保健医療福祉情報システム工業会
・情報セキュリティスペシャリスト
（情報処理安全確保支援士）
・社会医療法人愛仁会本部医療情報部
・弁護士法人第一法律事務所

36
【アサイン】
プレイヤ（参加者）にシナリオ上
の病院職員の役職をアサイン。
（その役職に成りきってロールプ
レイング。）
【ファシリテート】
問題点をあぶり出すように、ファ
シリテータが適宜状況を付与し、
プレイヤを課題に誘導。
【リアルな疑似体験】
プレイヤはシナリオで設定されたリアルな状況下で、実際に遭遇
する様々な場面を対応。
ファシリテータ
（当研究会メンバー）
机上演習シナリオ
プレイヤ
（参加者＝病院職員）
【振り返り】
演習を振り返り、問題点を
抽出・整理しグループ発表。
（発表後、ファシリテータが
コメント。）
【自院への反映】
演習の体験や気づきを自病
院に持ち帰り、自院の事業
継続計画を見直し。
(2) ロールプレイング形式

(3) 概略シナリオ（1/2）
37
情報システム室
当直職員
06：00 状況②[感染確認]
・脅迫型ウイルス感染！
・侵入経路は不明…
11：00 状況④ [調査結果]
・電子カルテシステムに不正侵入
・漏えいの痕跡は確認できない。
電子カルテ
システム開発
Ａ社
病院長
事務部長
診
療
部
長
看
護
部
長
医
療
技
術
部
長
医
療
連
携
室
長
広
報
室
長
情
報
シ
ス
テ
ム
室
長
副病院長
[調査依頼]
[問合せ]
[逐次報告]
△月△日05：40 状況①[異常報告]
・電カル端末に変な画面が出て使えない！
06：30 状況③[危機管理本部招集]
・電カル運用中止！紙カルテ代替指示
[調査結果]
発覚

(3) 概略シナリオ（2/2）
プレイヤ
副院長
ファシリテータ（状況付与と議論コントロール）
プレイヤ以外の役職はファシリテータが担う
プレイヤ
診療部長
プレイヤ
情報システム室長
プレイヤ
広報室長
プレイヤ
事務部長
38
厚労省
情参室
報道機関
15：30 状況➉[クレーム]
都道府県
医政主管部
16：00～状況⑪[催促]
・継続報告の催促
17：30 状況⑫ [取材依頼]
・SNSで騒がれているようです
が、・・・・。
14：30 状況⑧[調査結果]
・医療連携端末にバックドア！
住民
11：20 状況⑤ [要請]
・全システム調査指示！
15：00 状況⑨[SNS]
・デマや悪質な誤情報
の拡散
14：00 状況⑦ [問合せ]
電子カルテ
システム開発Ａ社
地域連携協議会
（地域連携センター）
娘、息子から
聞いて
11：30 状況⑥ [SNS]
・再来受付画面「」の
写真をアップ！
患者

39
演習終了後、ロールプレイングを振り返って、問題点の抽出・整理。
(4) 結果の整理

40
■ USBの紛失という物理的な物の漏えいではなく、情報ネッ
トワーク経由の漏えいだったので、何故、漏れたのか、患者
情報の何が何件漏れたのかなど、漏えいデータの確認方法
や手段等がわからず、初動対応に苦慮した。
■ また、その原因が標的型メールであったことなど、因果関係
が見えにくいことがサイバー攻撃によるリスク特性であるこ
とがわかった。
■それぞれの段階での問題点
① 報告すべき所管官庁への報告の仕方やタイミング、報告内容（レベル感）などの報告手順が不
明確で対応に手間取った。
② 関連組織との連携の方法や内容が具体的にどうすれば良いかわからず、効率よく連携出来な
かった。
「これらの問題点の気づきに基づいて、サイバー攻撃時の組織的対応ルールや体制を見
直せば良いことがわかった。」と発表を締めくくった。
(5) グループ発表

41
● 2019年2月16日（土）午後ＮＨＫ大阪放送局が密着取材。
(6) ＮＨＫニュースで放映！
当日のニュース（1分30秒）

42
３．まとめ

（１）ランサムウェアを利用した「サイバー攻撃による被害」が増大しており、
自然災害と異なり、「因果関係が見えにくい。」というリスク特性がある。
（２）関係法令・ガイドラインを遵守要。
① 厚労省「医療情報システムの安全管理に関するガイドライン第5.1版」等
② 2022.04.01.施行される「改正個人情報保護法」
（３）緊急時の広報対応は、原則１～５で。
平時から、「ソーシャルメディアポリシー」を職員に浸透させておくと共に、自院のホーム
ページで公表しておくことが望まれる。
（４）サイバー攻撃を100％防ぐことはできない。
サイバー攻撃を防ぎきれず、診療業務に影響が発生することを前提に、自院の事業継続計
画（BCP：Business Continuity Plan）を事前検証しておくことが望まれる。
43
３．まとめ

44
引用文献リスト
注． 1 独立行政法人情報処理推進機構 (IPA)「情報セキュリティ10大脅威 2021」
https://www.ipa.go.jp/security/vuln/10threats2021.html
注． 2 宇陀市/宇陀市立病院コンピューターウイルス感染事案に係る安全確認の公表及び報告(2020.02.28.)
https://www.city.uda.nara.jp/udacity-hp/oshirase/change-info/densikarute.html
注． 3 厚労省「医療機関等におけるサイバーセキュリティ対策の強化について」（2018.10.30.）
https://www.mhlw.go.jp/content/10800000/000646143.pdf
注． 4 厚労省「医療情報システムの安全管理に関するガイドライン　第5.1版」（2021.01.29.）
https://www.mhlw.go.jp/stf/shingi/0000516275.html
注． 5 厚労省「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」（2021.06.28.）
https://www.mhlw.go.jp/hourei/doc/tsuchi/T210630U0010.pdf
注． 6 個人情報保護委員会「令和２年改正個人情報保護法について」
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/
注． 7 個人情報保護委員会「令和３年改正個人情報保護法について（官民を通じた個人情報保護制度の見直し）」
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/

45
Toshiharu Ogawa ogawa@one.jp
公社日本医業経営コンサルタント協会
近畿地区協議会サイバーセキュリティ演習研究会主任研究員
認定登録医業経営コンサルタント
■資格等
認定登録医業経営コンサルタント
医業経営コンサルタント継続研修講師
プライバシーマーク審査員研修主任講師
プライバシーマーク主任審査員
情報セキュリティマネジメントシステム審査員補
公認情報セキュリティ監査人
公認システム監査人
■主な執筆
日経メディカル「病院ではコレが常識！医師のお作法123」共著
医業経営コンサルタント協会機関誌「JAHMC」寄稿
・次世代医療基盤法（通称：医療ビッグデータ法）が施行！概要とポイント
・医療の国際化、海外（マレーシア）視察調査レポート
・改正個人情報保護法、医療・介護現場への影響と実務対応
・医療等分野における番号制度の制度設計ほか

サイバーセキュリティ緊急事態におけるリスク・コミュニケーション

Recomendados

Recomendados

Más contenido relacionado

Más de HealthcareBitStation

Más de HealthcareBitStation (20)

サイバーセキュリティ緊急事態におけるリスク・コミュニケーション