文献情報
文献番号
202306017A
報告書区分
総括
研究課題名
医療機関におけるサイバー攻撃対応のための事業継続計画(BCP)の普及に向けた研究
課題番号
23CA2017
研究年度
令和5(2023)年度
研究代表者(所属機関)
鳥飼 幸太(国立大学法人群馬大学 医学部附属病院)
研究分担者(所属機関)
- 田木 真和(徳島大学 大学院医歯薬学研究部医療情報学分野)
- 橋本 智広(大津赤十字病院 事務部 医療情報課)
研究区分
厚生労働科学研究費補助金 行政政策研究分野 厚生労働科学特別研究
研究開始年度
令和5(2023)年度
研究終了予定年度
令和5(2023)年度
研究費
3,487,000円
研究者交替、所属機関変更
該当なし
研究報告書(概要版)
研究目的
国内におけるサイバー攻撃の被害が増加しており、医療分野におけるサイバーセキュリティ能力の向上は医療能力の安定提供を通じ国民福祉に貢献する。これまで医療機関におけるサイバー攻撃対策ならびに同攻撃被害時における医療ITの事業継続計画(Business Continuing Plan: BCP)(以下IT-BCP)の策定ならびに実施については各医療機関における自主的な取り組みが進められてきた。一方、人為的サイバー攻撃に対し、NIST CSF(CyberSecurity Framework)における用語の意味での「検知」(Detection)や「対応」(Response)といったアクティブディフェンスを行うために際しては、サイバー攻撃対処の技能習得ならびに実施に際して高度な技術能力が必要である。このため、本研究では医療機関が基本的に備えるべき共通のIT-BCP対策の内容について調査検討し、実施可能なチェックリスト案を作成することを目標とする。
研究方法
本研究では、研究代表者所属機関(群馬大学医学部附属病院)、研究分担者食機関(徳島大学医学部附属病院、大津赤十字病院)におけるサイバーセキュリティ対策のうち、IT-BCPとして捉えられる内容を調査した。次に、IT-BCP対策の参照資料である「医療情報システムにおける安全管理に関するガイドライン第6.0版」を精査し、IT-BCPが備えるべき特徴のカテゴリについて検討を行い案を作成した。作成にあたっては、米国NIST CSFならびに米国CISA CDM(Continuous Diagnostics and Mitigation)の分類を参考とした。その後、作成したIT-BCPカテゴリを参考としながらIT-BCPが備えるべき項目について検討し、実施可能な記述内容であることを確認しながらチェックリスト(IT-BCPチェックリスト)の作成を行った。
結果と考察
1.医療情報システムにおける安全管理に関するガイドライン6.0版におけるCSF/CDM/BCP分類の作成
本研究ではIT-BCPを検討する基礎として、今後遵守の対象となっている医療情報システムにおける安全管理に関するガイドライン第6.0版について、多角的な考察を行う目的で、CSF/CDM/BCP分類のどのカテゴリに相当した内容であるかについて調査を行った。調査の結果、図1に示すように、CSF分類としては識別/防御に関する対策が充実していることが分かった。一方、BCP対策における1次対応に相当するアクティブディフェンス能力である検知/対応については相対的に項目が少ないことがわかった。また、BCPにおいて重要な指標である復旧についても、同様に相対的に項目が少ないことがわかった。本調査項目については別添資料にて記載する。
考察
サイバーセキュリティの実装においては、これまでサイバーセキュリティの専門家のみでの監修が多く、把握すべき資料はインターネットから取得可能ではあるが分量が多いことが理解の妨げになっていたと推測される。また、サイバーセキュリティの用語については、日常用語または医療用語からかけ離れた特有の呼称が多く存在し、サイバーセキュリティの概念の独自性とあわせて理解が困難な側面が存在した。今回、医療機関でのワークフローと連成した資料を作成することにより、医療機関側でセルフチェックが可能になる様式を整備できたと考えられる。これは厚生労働省が目指す均霑化の目的に合致するものと考えられる。また、ガイドライン6.0版のCSF/CDMチェックを事前に行うことにより、各章立てに基づく内容の分割から、その効果に基づく内容の分割を検討でき、BCPとして備えるべき項目に対する根拠づけを行うことができた。
本研究ではIT-BCPを検討する基礎として、今後遵守の対象となっている医療情報システムにおける安全管理に関するガイドライン第6.0版について、多角的な考察を行う目的で、CSF/CDM/BCP分類のどのカテゴリに相当した内容であるかについて調査を行った。調査の結果、図1に示すように、CSF分類としては識別/防御に関する対策が充実していることが分かった。一方、BCP対策における1次対応に相当するアクティブディフェンス能力である検知/対応については相対的に項目が少ないことがわかった。また、BCPにおいて重要な指標である復旧についても、同様に相対的に項目が少ないことがわかった。本調査項目については別添資料にて記載する。
考察
サイバーセキュリティの実装においては、これまでサイバーセキュリティの専門家のみでの監修が多く、把握すべき資料はインターネットから取得可能ではあるが分量が多いことが理解の妨げになっていたと推測される。また、サイバーセキュリティの用語については、日常用語または医療用語からかけ離れた特有の呼称が多く存在し、サイバーセキュリティの概念の独自性とあわせて理解が困難な側面が存在した。今回、医療機関でのワークフローと連成した資料を作成することにより、医療機関側でセルフチェックが可能になる様式を整備できたと考えられる。これは厚生労働省が目指す均霑化の目的に合致するものと考えられる。また、ガイドライン6.0版のCSF/CDMチェックを事前に行うことにより、各章立てに基づく内容の分割から、その効果に基づく内容の分割を検討でき、BCPとして備えるべき項目に対する根拠づけを行うことができた。
結論
本研究は単年度事業であり、研究成果として、医療情報システムにおける安全管理に関するガイドライン第6.0版ならびにIT-BCPチェックリスト作成を実施した。また、CSF/CDMの各5分類からカバーすべき内容に偏りが生じないように内容を選定し記載した。本チェックリストの記載に当たっては、すべての医療機関において使用されるが、特に診療録管理体制加算が充実した200床以上の病院に対して適用できることを考慮して記載した。チェックリストの実施者としては、医療機関におけるシステム管理者のほか、サイバーセキュリティに熟達していない事務職員等においても把握できるよう記載の用語や内容について確認を行った。
公開日・更新日
公開日
2024-08-02
更新日
-