(事案の経緯)
平成 30 年 10 月 16 日に、宇陀市立病院の医療情報システムの中核である電子カルテシステムがコンピューターウイルスに感染し、システムが使用できない事案が発生しました。10 月 18 日にシステムは復旧したものの、一部の患者カルテ情報が暗号化され診療記録等の参照ができないこととなり、該当患者様には個別に書面にてお詫びを申し上げました。
本件事案は、事の重大性から、厚生労働省及び奈良県による立入調査を受けると共に、原因分析、被害状況の実態把握、再発防止策等について最終報告を取りまとめ、適切な方法で公表すること等を内容とする行政指導を平成30年11月6日に奈良県より受けています。
それを受け、宇陀市全体で取り組むため、平成 31 年 1 月 21 日に市長を本部長とする「市立病院コンピューターウイルス感染事案対策本部」を設置し、対策にあたると共に、専門的な見地から原因分析や再発防止について審議いただくため、第三者委員会として「市立病院コンピューターウイルス感染事案有識者会議」を設置しました。有識者会議では、セキュリティ対策ベンダーの調査を基に検証を進められ、平成 31 年 3 月 24 日から令和元年9 月 1 日まで計 5 回の精力的な議論を経て提言をまとめていただきました。
(調査により判明していること)
■ウイルスの種類ランサムウェア(GandCrab)。2018 年 1 月に存在が発見され、感染したファイルを暗号化し 参照できなくなるコンピューターウイルス。
■感染範囲電子カルテを含む診療部門サーバ4台、診療部門端末2台、ウイルス対策サーバ1台、看護部門サーバ1台■ウイルスの残存院内のネットワーク(ネットワーク、サーバ、端末機)にウイルスが存在していないことが確認されています。■感染経路の特定システム復旧を優先する一方、証拠保全を行わないまま医療情報システムの再セットアップが行われたことで、正確な原因究明ができない状況となりました。
(ウイルス感染の影響)
■ファイルの暗号化一部の患者カルテの情報が参照できなくなり、医療情報システム全体に影響が及んだ。なお、平成 31 年 3 月 25 日に暗号化されたデータの復元に成功し、全ての電子カルテデータが参照できる状態になっています。■診療報酬請求の遅延データの暗号化により事案発生月の診療報酬請求に影響が及び、福祉医療費助成制度に基づく償還に遅れが生じ、対象者には文書でお詫びと説明を行いました。■個人情報の漏洩ウイルスの侵入経路は機器を再セットアップしたことによりログが残っていないため、個人情報の流出があったか否かの断定が行えなかった。現在までの間、個人情報が流出したという情報はありませんが、引き続き動向に注意して参ります。
(安全確認の公表)
宇陀市・宇陀市立病院では、有識者会議の提言を厳粛に受け止め、提言に沿った再発防止対策を報告書として取りまとめ、計画的に進めているところです。
なお、本報告書は、有識者会議において、提言に対応した安全対策・再発防止策が講じられていること、また、その道筋が明らかになっていることを評価・承認いただいていると共に、国・県に対しても説明を行い報告書の内容について確認・承認いただいています。
この度、報告書にまとめた再発防止対策について対応が完了又は完了の見通しが立つと共に、安全に運用していくための保守・管理体制が確立でき、安心して宇陀市立病院をご利用いただける環境が整ったため、報告書の公表を以って市民・関係の皆様にお伝えするもので
す。
今後は、皆様から信頼される病院であり続けるために、病院組織が一丸となって継続的に
再発防止に取り組み、信頼回復に努めてまいりますと共に、今回の教訓を生かし、宇陀市全
体として、情報セキュリティに関する管理体制の強化を図り、職員の意識及び組織のガバナ
ンスの改革を進めて参ります。