機密情報の漏えいにより、病院の電子カルテが60日間停止……　悪質なハッキングと戦うために、医療機関に必要な“備え”

サイバー攻撃後、復旧までのプロセス

須藤泰史氏：（ランサムウェア攻撃から）復旧までのプロセスなんですが、先ほど言いましたように小児科・産科が復活したあと、放射線科は、近隣の開業医の先生から「CTやMRIを撮ってほしい」というオーダーを受けることを復活させました。

CT・MRIのサーバーの中にはウイルスがもういないと確定ができた段階から、そういったことも復活させていきました。レセプトは作れず請求できない、診療報酬請求が入らない、お金が入らない状態で診療を続けていました。

ハッカー攻撃に対する対応は、時効になるまで、今も徳島県警のサイバー犯罪対策室が引き続き捜査をしています。犯人側からの具体的な要求はないんですね。

サイバー攻撃を受けたルートについては捜査中と書いていますが、我々の電子カルテに入るためのIDとパスワードが犯人に漏えいしていることがダークサイトで判明したんですね。つまり、VPNのある会社のソフトが脆弱で、パッチを当ててバージョンアップしておかないといけないと言われていたものが、できていなかったんです。

脆弱なVPNを使っている一覧がダークサイトにあって、そこに「handa」という名前を入れて検索すると、我々の電子カルテに入れるIDとパスワードが出ていたということです。

過去の患者データなどをすぐに取り込むことができた

復旧までのプロセスですが、感染したサーバーとか、直すものをまずは専門の業者に委託しました。それから先ほど「1月4日に電子カルテ復活」と言いましたが、レンタルサーバーで同じ電子カルテのベンターが再構築してくれました。

電子カルテから取り出していた医事会計のデータとか、新型コロナワクチンの接種は「かかりつけの患者さんに打ちましょう」ということになっていましたので、患者さんのお名前などのデータを抜いてたんです。それを戻すこともできるようになりました。

ですから、電子カルテのベンダーが立ち上げたコンピューターには、何の情報もないというよりかは、過去にある程度抜いていた情報を戻して使えることが利点でした。

もちろん、我々の電子カルテがこんなふうに被害にあったので、今のベンダーではなくてまったく別のベンダーでやろうということも考えたんです。

ある大手のベンダーに問い合わせしたところ、半田病院が公開したことで、「その大手のベンダーが入れている電子カルテは大丈夫なのか？」ということで、そこのSEがあちこちの病院に出払っているので、半田病院用にカスタマイズする人員がいないと。「6ヶ月はかかりますよ」と言われたので、早々にこれは断念しました。

攻撃から約2ヶ月、システム復旧を試みる

実際に復旧したかたちはこれです。修復に送っていたシステムからバックアップサーバーが返ってきたんですが、我々は2011年に電子カルテを入れて、2018年にバージョンアップしたんですね。その時までのフルバックアップだけは復活しており、同じ電子カルテなのですぐに戻したんです。

それから、電子カルテから抜いていたいろんなデータを戻して、「過去の記録は全てないが、少しでもこのデータでやっていこう」と準備していた時に、やっと12月28日に残りの修復に送っていたシステムが返ってきたんですね。（スライドの）上が全部ちゃんと修復して動けば下は必要なかったんですが、実際に動かしてみると動かなかったんです。

けれども、同じ電子カルテシステムだったので新しく構築したシステムで読み込めて、この中（電子カルテ・データベース）に2018年以降のデータも残っていましたので、過去のデータは全て復活し、それで現在は稼働できています。

機械自体は壊れていなかったので、全部をクリーンにして再起動して、今はこちら（レンタルサーバーを）は全部お返しして、このシステムでやっています。まだ外とはつながってないんですが、今後は外とつなげる予定です。

約5,000冊もある紙カルテを電子カルテに再入力

1月4日の通常診療再開以降の対応なんですけど、とにかく紙で書いていた記録を電子カルテにもう一度入力していきました。10月分は31日だけだったので、すぐにそれを入力して、1月10日に10月分の診療報酬を請求。本来であれば11月の初めに請求するものをやっと請求できたんですね。

11月から12月分の紙カルテは約5,000冊ありました。これを1月4日以降、電子カルテに入力する。本当に大変な作業でした。11月分はなんとか2月10日、12月分は3月10日に請求しました。この作業が大変だったので、1月から3月は4月10日にまとめて請求して、5月20日に3ヶ月分入金がありました。

実際の様子です。（平常時は）通常のカウンターで、料金や処方せんを全部渡したりしていたので簡単に済むんですが、とてもここでは間に合わないということでテーブルを並べました。その後ろには、内科だったら内科のカルテを置いて、今日はどなたが来たのか、なければカルテを作るという状況でした。

泌尿器科もこれだけのカルテがありました。全部で5,000冊です。復活した時に何をやったかというと、診療、処方、処置したことを全部その日に戻って電子カルテに入力していきました。本当に大変な作業でした。

慣れない紙カルテの記入、予約状況も把握しきれない……

各部門の被害状況調査なんですが、たくさん書いてるので、また資料をご覧になっていただきたいと思います。「紙カルテの記録に慣れてない」というのは、20代、30代の電子カルテで育ってる世代はまったく紙カルテを知らないんですね。

それから診断が確定した日がわからないので、生命保険の診断書も書けない。これは本当に患者さんにご迷惑をかけました。検査、レントゲン、いろんなものが大変だったんですね。内容を書いていますので、またご覧になってください。

予約も電子カルテで動いていたので、今日は誰が来るのか、その先に予約を入れても何人が入っているのかがわからない状態で診療を続けておりました。それから健診部門も電子カルテとつながっていましたので、健診予定であった方々のところへの連絡も本当に苦労いたしました。

患者さんの対応で一番困りごとを聞いてくれたとこ、あるいはそれに対して努力してくれたのが患者さんのサポート室なんですが、診療情報提供書、紹介状を紹介先から戻してもらえれば、紹介状を作った時までの患者さんの情報がわかるわけなので、紹介先の病院から「FAXで戻してください」なんていうのもお願いしたんです。

もちろん当院にも控えがあったんですが、ファイリングしておらず、簡単に見られない状況だったんですね。そこでこんなタグをつけて、「誰々さんが来た」「その方の診療情報提供書があるか」ということを簡単に見つけられるように作り直してくれました。

これもあとで申しますが、簡易バックアップシステムなんかを作っていれば、簡単に検索できたんですね。これは今後、BCPとして考えています。

サイバーセキュリティの専門家も現地を訪問

医療機関はヒヤリハットやインシデント、アクシデントの報告会をやってるんですが、こんなサイバー攻撃を受けた時も報告会をやりました。23件中19件が紙カルテ運用のミスですね。

糊で検査結果がちゃんと貼れていなかったとか、紙カルテを立てるボックスの中に紙カルテがクシャッと入っていたり、紙カルテをそのままお渡しするわけにはいかないのでプラスチックのケースで患者さんにお渡ししていたんですが、ケースの中に別のものが入っていたことがありました。

先ほどクロノロのところでお話ししましたが、全部の記録を有識者の先生に判断してもらって、今後どうすべきかを評価していただくことを決めていました。

電子カルテが復活して以降、我々の事件が徳島新聞に出た時に有識者としてコメントしてくださった、神戸大学の森井（昌克）先生、徳島大学の上田（哲史）先生、それからSoftware ISACの板東（直樹）さん、県とつるぎ町に入っていただいて、有識者の会議を開きました。

Software ISACの板東さん、加藤（智巳）さん、萩原（健太）さんは、2回ほど現地調査に来てくださいました。彼ら3名はサイバーセキュリティの専門家なんですが、実際に病院で起きたらどんなことになるのかを2回の現地調査で非常によく知ってくださって、最終的な取りまとめを行ってくれました。

サイバー攻撃による被害額はどのくらい？

報告書は、この内容を私も議会でも説明しましたが、半田病院のホームページからダウンロードできるようになっています。

Software ISACのみなさんが「医療機関はセキュリティについて詳しくないだろう。これをぜひ叩き台にしてもらって、ベンダーと交渉する時に使ってください」というかたちで用意していますので、何があったか、技術的にはどうだったか、ぜひみなさんご利用いただければと思います。

この中に書いてるのは、本当にまだ不十分な内容です。我々ができてなかったこと、じゃあ実際に今後どうしていけばいいのかは、さらに突っ込んだことを出さないといけないんですが、まずはこれを世に出して、日本の医療機関の改善に貢献できればと思ってお出ししていますので、ぜひご使用になっていただければと思います。

それから「いくら被害額があったんですか？」とよく聞かれます。まだ全額をお支払いしたわけではないですが、復旧と新たなシステム作りに2億円ぐらいかかりそうです。それから11月、12月の2ヶ月で診療を制限しましたので、その減収が数千万円あるんだろうと思ってます。

先ほど言いましたSoftware ISACの方々が厚労省から委託事業をいただいて、医療機関向けのセキュリティ教育支援ポータルサイトを作っています。

ぜひみなさんもアクセスしていただいて、「コンテンツ集」をクリックしていただくと、私も出演していますが、我々の病院で実際にどういうことがあって、何がいけなかったのか、非常にわかりやすい17分ほどのビデオになってますので、ぜひご覧になっていただければと思います。

被害に遭ってわかった“大きな災害”への対応方法

次に、大きな災害に対しての対応なんですが、「サイバーセキュリティを高める」というお話です。「バックアップは確実にしましょう」「セキュリティ情報の取得をしよう」ということについて、お話ししたいと思います。

これは1ヶ月経った時の記者会見でも使ったんですが、我々のネットワークはVPNが脆弱で簡単に入ってこられて、バックアップサーバーもあったんですが、建物を別にしてるだけで24時間つながってたんですね。それで、簡単にウイルスに入ってこられたということです。

今後は、必要時にだけ外とつなぐようにする。VPNはログが残るようにする。それからバックアップサーバーは、我々はテープを考えていますけど、クラウドやテープといったものに変えていく。

ハブも、なんでもつなぐハブではなくて、登録したものしかつながない。それからクライアントPCにアンチウイルスソフトを入れる。アンチウイルスソフトを入れると本当に電子カルテの動きが遅くなってしまうので、ずっと入れてなかったんですが、こういったことをやっていこうと考えています。

「情報を取得しましょう」と言いましたが、令和3年の6月にはすでに厚労省から、今指摘した内容の注意喚起が来てたんですね。我々がやられたのは10月だったので、6月にこういうことをちゃんと知って対応していれば、やられなかったかもしれません。

再発防止に向けた取り組み

今、有識者のメンバーの方と当院の電子カルテを入れたベンダーとシステムを入れたベンダーを交えて新たな電子カルテシステムを作っています。今年度中につながる予定なので、またそのあと新たに報告書を出そうかと思ってます。

今のところ、こんな構成図を考えているんですね。保守回線を一本化するとか、いろんなことを書いてますが、またみなさんにご報告したいと思います。

有識者の先生方から教えていただいたんですが、2020年の8月にすでに総務省と経産省はベンダーに対して「医療機関は医療の専門機関であって、セキュリティについての専門性は乏しい。だから安全管理義務を履行するためには、必要な情報を適時適切にベンダーは医療機関に提供する義務があるんだよ」ということが書かれている、ガイドラインがあることを教えていただきました。

このガイドラインは今年、新たなものになりました。ガイドラインというだけではなくて、実は刑法や民法、それから個人情報保護法といった法律に基づいてこのガイドラインはあるんだよと。だから、よりベンダーに対して注意喚起を促すものに変わりました。

この情報の中に、実は半田病院のこともちょっと出てます。リスクコミュニケーションのところに「徳島県つるぎ町立半田病院で起きたこと」というコラムがあります。何が問題で、（ベンダーは）どういったことをやらないといけないのか、詳しく箇条書きで出ています。

有事に備え、備蓄のPC等を準備することがおすすめ

「責任分界上の課題」「初動対応上の課題」「サービス提供上の課題」とありますが、ベンダーに対する注意喚起なんですね。こういったことがベンダーにも求められるようになりました。

それから厚労省も、我々の事件のあとにすぐにガイドライン5.2を出しました。（医療機関は）「責任分界点をはっきりしなさいよ」と書かれているんですが、2022年の11月から保健所の立ち入り調査にこういったことが入ってきました。さらに2023年、厚労省はガイドラインを6.0にバージョンアップしました。

そうなってきた時に、こういう項目だけではなくて、さらに詳しいセキュリティ対策チェックリストが求められるようになりました。

これは医療機関用なんですが、ベンダーに対しても事業者に対しても「こういったことをちゃんとやってくださいよ」と、医療機関が問い合わせをして確認しておくかたちに変わりました。

それからサイバー攻撃を想定した訓練、BCPの必要性についてもお話しします。先ほど何度も申しましたが、簡易バックアップが有用です。それから自治体に大量の備蓄……大量とは言わなくても、ある程度の備蓄のPC・プリンターがあれば、こういった時には本当に助かると思います。

簡易バックアップシステムの有用性

これは簡易バックアップの話なんですが、詳しくは『月刊新医療（2022年7月号）』を読んでいただければ、私とシステム担当の山本の2人で共著で書いてます。

どういうことかと言うと、電子カルテシステムがウイルスにやられて、バックアップデータを守っていたとしても、こちらにウイルスに入られるとバックアップデータを見られないんですね。フォレンジックの調査（不正アクセスなどのセキュリティインシデントが発生した際に、法的証拠を見つけるための鑑識調査やデータ解析）で数週間は使えませんから、その間どうするか。

電子カルテシステムとは別のシステムで、簡易的な患者さんの情報を常にバックアップしていれば、診療を継続できる。

あるいは被災した場合には、普通のコンピューターでその情報を見られますから、診療情報を患者さんにお付けして、被災地から外に出すことが可能なので、こういった簡易なバックアップシステムは非常に有用だと思います。

実際にこれを書いたあとに、大阪急性期（・総合医療センター）さんが（サイバー攻撃に）やられた時に、大阪急性期さんの中にはDACSという簡易バックアップシステムがあったようなので、それで診療が継続できたというお話もありました。

厚労省はインシデントの相談窓口を設置中

それから、セキュリティ教育支援ポータルサイトの「研修内容」をクリックしていただければ、今度の6.0に合わせたいろんなセキュリティ教育が受けられるようになってますので、これをご活用いただければと思ってます。

セキュリティ教育支援ポータルサイトには、「インシデントかも？」というものがあるんですが、実際インシデントがあったらここをクリックすれば相談・対応をしてくれるようになってます。

当院で現地調査をしてくれたソフトウェア協会の3名の方は、厚労省から委託を受けて大阪急性期さんのインシデント初期対応チームとして駆けつけましたので、非常に助かったという話も聞いてます。

私たちの時は本当に誰も助けにきてくれなかったんですが、今は本当に良くなってますので、こういうのを利用していただければと思います。

ランサムウェアとの戦いは、勝つことも降りることもできない

最後になんですが、徳島県警のサイバー犯罪対策室から「システム担当責任者はすべてのシステムを把握してください」と言われました。検査機器であったり、それから画像のシステムは、24時間リモートのメンテナンスが必要ということで、システム担当が知らないうちに外のネットワークとつながっていることがよくあるんですね。

大阪急性期さんも本丸のVPNはしっかりして守っていたんだけど、給食センターという横のルートからウイルスにやられたわけです。ですから、すべてのシステムを把握していないと問題があるということになります。

それから、アメリカのランサムウェア対策をしてる識者の方からこういうことを教えていただきました。ランサムウェアとの戦いは勝つことはできないが、降りることもできないゲームであって、侵入されることを前提に「バックアップデータをいかに守るか」と「感染した際に事業継続をいかに行うか」が大事だということです。

簡易バックアップシステムや、行政単位である程度のPC・プリンターを抱えておいてもらうことが本当にBCPに役立つので、考えていただけたらと思います。

以上です。ちょっと早口で聞き取りにくいところもあろうかと思いますが、これで発表を終わりたいと思います。ご清聴ありがとうございました。