コンピュータウイルス感染事案有識者会議調査報告書(徳島県つるぎ町立半田病院)

 

令和3年10月31日の未明、つるぎ町立半田病院がサイバー攻撃を受け、電子カルテをはじめとする院内システムがランサムウェアと呼ばれる身代金要求型コンピュータウイルスに感染し、カルテが閲覧できなくなるなどの大きな被害が生じました。令和4年1月4日の通常診療再開までの間、患者さんをはじめ関係者の皆さまには多大なご迷惑とご心配をおかけいたしましたこと、改めて深くお詫び申し上げます。

事件発生後、当院の職員は一丸となって早期復旧を目指しました。全容解明や情報漏えい有無の特定よりも、まずは病院としての機能を一日も早く取り戻すために、患者さんのデータをいかに復元させるか、端末を利用できる状況にどのように戻すかに焦点を当てインシデント対応を行っていきました。幸いにして、調査復旧を請け負った事業者の作業、電子カルテ業者の仮システムの構築、そして、電子カルテより必要に応じて抽出していたデータなどを利用し、令和4年1月4日に通常診療を再開することが出来ました。

事件発生後、全国の病院や事業所が当院のようなサイバー攻撃を受けないためにも、詳細な状況を公表することが責任であると考え、できうる限りの情報を公開してきました。その結果、あらゆるマスコミや業界誌等からの取材依頼があり、逆に様々な情報提供もありました。この状況は今現在も続いており、今後も積極的な情報開示に努めてまいります。

なぜ、当院がコンピュータウイルスに感染したかについては、今も警察当局においての捜査が続けられています。また、個人情報の漏えいも確認はされておりません。病院としては、有識者会議を設置いたしました。委員には、大学教授などの専門家にご就任いただき、会議の開催と現地調査を経て、当院に対するサイバー攻撃に関し、客観的にその原因分析や被害状況の実態把握、再発防止策など病院運営に関する重要事項について審議いただき、調査報告書としてその提言をまとめていただきました。また、「報告書(技術編)」や「情報システムにおけるセキュリティ・コントロール・ガイドライン」も併記し、サイバーセキュリティに関して知識が不十分である病院関係者が業者と交渉する際の指標となるものを盛り込んでいただきました。これらすべては、当院ホームページよりダウンロードできるようにいたします。有識者の方々からは、電子カルテシステムは閉域網で使用するものではなく、外部とつながって使用される状況であり、また、インターネットと接続させることでシステムをアップデートできることから、より強固なセキュリティの構築に取り組まなければいけないことを教えていただきました。この報告書には、我々の対応不足な点もたくさん指摘されていますが、広く日本の電子カルテシステムにおける問題も提起されています。本来なら、今後当院が電子カルテシステムをどのようにするのかの具体的な対策も提示して、皆様にご報告するべきだったと思いますが、まずはこれらを世に出して、全国の病院や事業所のセキュリティ強化に貢献できればと考え公開するものです。

今後におきましては、本提言を踏まえ国(厚生労働省・総務省・経済産業省等)の新たな指針も参考にしながら、ガイドラインを遵守したシステムの構築により、再発防止とセキュリティ対策強化を図る所存でございます。

これからも、地域の中核病院の責務を果たすべく、財政の健全化と地域と共に歩む病院経営を目指し、職員一丸となって対応してまいります。引き続きのご支援をどうぞよろしくお願い申し上げます。

プレスリリースアーカイブ


■気になったポイント1


・アプリケーションをC社から購入し、ハードウエアをA社から購入していたら、責任分界点が生じるのは当然。その責任分界点を自組織でカバーできないのであれば1社からアプリケーションとハードウエアをまとめて購入すべきで、サポートが宙に浮いたのはベンダーの問題ではなく、半田病院の問題と考えられる。

■気になったポイント2

・一般的に脆弱性情報の収集は利用組織で責任を持ってPULL型で実施するもの。それができないのであれば、追加コストを払ってPUSH型で情報を受け取るようにするものなので、積極的に脆弱性情報の収集を行っていないことが問題だし、それをベンダーのせいにするのであれば、もっとサポートがしっかりした製品を購入すべきで、半田病院における製品選定ミスということもできる。

【資料】