ネットワークインフラとITサービスを手掛ける「アライドテレシス」（東京都品川区）が提供する、医療現場で変革の旗手を担うキーパーソンと考える特別企画「変革する医療現場を支えるDXのチカラ～座談会シリーズ～」。vol.5は、前回に引き続き医療現場の事業継続計画（BCP）をテーマに、2021年にランサムウエア（身代金要求型ウイルス）による攻撃を受けた経験を持つ、徳島県つるぎ町立半田病院の病院事業管理者である須藤泰史氏を迎え、非常時のITシステムの運用維持に焦点を当てた「IT－BCP」について考えました。

■困難な復旧作業と医療行為の両立
佐藤氏　完全復旧に2カ月近く要する大変な事件でしたが、今振り返って考えるのはどんなことですか。

須藤氏　サイバーセキュリティーを高めるのは大事なことです。そのためにIT－BCPをいかに作っておくか、これにかかっています。被害を受けた時にIT－BCPの整備はできていませんでしたが、当院は災害拠点病院のため地震などの災害用BCPを策定しており、攻撃されたときに本部体制を作るのには役立ちました。また、攻撃時はコロナ禍もあって、各部署をつなぐSNSによる情報共有体制ができていました。

　とはいえ、調査に来られた有識者からは、IT－BCPを含めた情報セキュリティー対策ができていなかった旨の指摘を受けています。バックアップをはじめとした対策の大切さは思い知らされました。その経験から私は「しくじり先生」として、教訓を医療界に伝えています。

佐藤氏　半田病院ではインシデントを受けてIT－BCPの策定をされたということですが、具体的にはどういった内容なのでしょうか。

須藤氏　大規模災害時には、受け入れ先の病院で傷病者の治療優先度をつけるためのトリアージを行うことがあります。これをIT－BCPにも当てはめています。5つの色分けをしていて、白は平常業務、緑は一部診療制限、黄色は通常診療を中止して傷病者の受け入れ態勢をとる、赤は黄色と似ていますが、病院が機能不全になっている、黒は病院避難、つまり病院の建物内では業務ができない状態です。

　まずは状況を素早く把握し、どのレベルにあるのかを対策本部において判断します。そこからどう、白の平常業務までもっていくか。例えば赤の状態なら紙カルテを使って人海戦術を繰り広げて、対応できる範囲を広げていきます。パンデミックや災害対応のBCPもこの考え方を適用しているのですが、ITインシデントの時にやっかいなのは、周りは通常なのに、被害を受けた病院だけは異常であるということです。患者や地域になかなか理解されず、不便な状況下で医療行為を続けながら復旧しないといけない。通常の医療行為と復旧の2本立てで考えることになります。それを少しでも楽にするためにIT－BCPではバックアップを確実にして、患者情報を随時更新して紙にプリントするといった準備をしておくことが大事です。

　動かせる機械や人員を把握した対応も必要です。電子カルテが動かない中で、画像データはどのくらい保存できるのか、ほかに例えば透析なら体重や血圧の自動計測ができるのか、すぐに分かるようにしておくと対応も取りやすくなります。

佐藤氏　復旧作業と同時に、紙カルテを使いながら通常の医療を提供することは、本当に大変なことですね。

須藤氏　インシデント後にシステム責任者がベンダーに連絡したら、「リモートで見ますから、早くネットをつないでください」と言う担当者がいました。全てのネットワークが使えないにもかかわらずです。ベンダー側からしても、サイバー攻撃の深刻さにはあまり気付いてないということだったのでしょう。医療機関にはシステムに詳しい職員がふんだんにいるわけではないので、ベンダーの存在が非常に大切になります。医療機関からIT－BCPの相談はありますか。

木村氏　最近、かなり増えています。そもそもIT－BCPがまだ白紙の状態でどうするかといった話も多いです。まず全てのデータのバックアップは重要です。病院の経営が厳しいと言われる中で、IT－BCPとその実行にかける費用を渋る経営層も、当然いると思います。

■ベンダーはユーザーに寄り添いを
須藤氏　全国的に病院の経営は厳しいです。とはいえ、予算をかけないでできることも多くあります。病院のシステムとインターネットをつなぐVPN機器への攻撃が目立ちますが、これはIDとパスワードの管理でかなり防げます。当院も定期的に推察されないようにパスワードの変更を行っています。金銭面以前に、こういったリテラシー教育は絶対に必要です。

佐藤氏　多くのインシデントもあって、医療機関に限らず経営層の意識が高くなってきているのは、肌で感じております。復旧のポイントについてはどうお考えでしょうか。

須藤氏　院内外のコミュニケーションが本当に大事だと思います。苦労したのはベンダーとのコミュニケーションです。ベンダーとユーザーの責任分界点があいまいでした。大いに反省すべき点ではあったのですが、医療機関側にリーガルチェックを細かくするような体制が整っていないのもまた事実です。アライドテレシスとして着目されている点はありますか。

佐藤氏　データをどう守っていくかというところになると思いますが、ネットワークの観点では、複数の保守ベンダーごとに回線やルーターが導入されていると、適切な管理が行えないケースがあります。ですので、回線を集約して、何かあった時に調べやすくすることは重要になります。

安澤氏　医療機関向けにご提案したい内容として、「リモメンパック」というサービスがあります。リモートメンテナンスの回線を一本化して、当社のセンターで接続アカウントの管理やセキュリティー管理を行います。シンプルに構成すれば管理もしやすく安全性も上がりますので、多くの施設に採用いただくことを目指しています。

木村氏　気が付いたら数多くのシステムが積み上がっていて、複数の回線を契約している医療機関も多くなっています。そういった事情を踏まえて、「リモメンパック」の提案を進めています。

安澤氏　当社には「Allied SecureWAN」というサービスもあります。これはゲートウェイセキュリティーサービスとして、クラウドサービスや保守ベンダーのリモートメンテナンスの回線と院内システムとを安全につなぐためのものです。リモートメンテナンスだけでなく、今後は医療機関のクラウド利用の増加が見込まれますので、この提案も積極的にしていきたいと考えています。

須藤氏　かつての病院システムは閉鎖的でしたが、今はネットワークとの上手な付き合い方が問われています。今後は電子カルテも含めてクラウドの利用が増える中で、安全のために重要な考え方になりますね。

木村氏　情報管理部門の方々は孤独な中で業務に当たっている方も多いです。当社では全国にある医療機関の皆さまにご参加いただいている500人規模のユーザー会を運営しています。私どもがユーザーのお話を聞くだけの会ではなく、ユーザーの方々同士で積極的に情報交換をされています。ぜひこういった会も利用していただき、課題や悩みを一緒に解決していければと思います。

佐藤氏　大事なのは「ユーザーに寄り添うこと」だと考えています。何か困ったことがあれば、まず駆けつける。全国43の拠点網を持つ我々だからこそできることだとも思います。その心がけを持ち、1つでも多くの医療機関様をご支援していきたいです。

▽本座談会のもととなったセミナーをアーカイブ配信中。
下記アライドテレシスHPよりお申込みのうえ、ご視聴いただけます。



▽アライドテレシスの医療機関向けソリューションについてはこちら



▽アライドテレシスのBCP対策ソリューションについてはこちら