病院がサイバー攻撃されたらどうなる？患者の命に関わる怖さ

「サイバー攻撃」ときくと、どんなイメージがわきますか？

人によっては、そんなことは映画や一部の外国に限った話で、自分とは無関係だと思っている人もいるかもしれません。しかし、すでに現実的な問題として、「医療機関」がハッカーの最たるターゲットとなる時代がやってきているのです。

2016年2月16日のengadget（日本版）によると、米ハリウッドの「Hollywood Presbyterian医療センター」が、ハッカーにより送り込まれたコンピューターウィルスに感染し、復旧の身代金として日本円で約4億円を請求される事件が起きました。

現場では、メールはもとより電子カルテ、レントゲン、CTマシン、各種検査分析、薬局の処方箋の処理にいたるまでの一切の業務が停止し、医療関係者は緊急度の高い患者を他医療機関へと移送したり、電話やファックスなど昔ながらの手段で運営を再開したりするなど、その対応に追われています。

一度被害にあえばその対応にあたるのは現場であり、そこで働く看護師たち。サイバー攻撃は、決して対岸の火事ではありません。

なぜ、医療機関はサイバー攻撃の標的にされるのか

では、なぜ「病院」が狙われたのでしょうか。

それは、実に単純です。「病院のセキュリテイレベルは低く、病院の個人情報価値は高い」からにほかなりません。

実は以前から問題視されていますが、病院のセキュリティは、政府機関や企業よりも総じてかなり低いのが現実です。しかも、病院は患者の個人情報の宝庫。個人情報というと、カルテなどの病歴を連想するかもしれませんが、それ以外にも、クレジットカードや保険証番号、今後はマイナンバーなどの重要機密にいたるまで、病院にアクセスできればすべての個人情報が犯罪者の手にわたる可能性があります。

サイバーテロリストやハッカーにとって、医療機関は今もっとも恰好の「ターゲット」であるといえるのです。

サイバー攻撃で患者が死亡する可能性もある

医療機器などがハッキングされると、業務上では、どのようなことが起こりえるのでしょうか。

2008年の米国での発表によると、もしペースメーカーがハッキングされれば、電流を流したり機器を止めたりすることも可能という研究成果が出ています。また、2011年には糖尿病患者のインスリンポンプがハッキングされると、投与量を外部から操作できてしまうこともわかっています。

ハッキングの害は、単に情報を盗み取るだけでなく、患者の命を左右する危険性さえはらんでいることがわかってきたのです。

仮説ばかりでなく、実際に事件へと発展した例もすでにあります。

米国では、MRI装置がウィルスに感染し、外部から操作された痕跡があることが判明しており、さらに2014年には、米国の大手病院チェーンでサイバーテロリストが病院のシステムへと侵入し、450万人の患者情報が盗まれた事件も起こっています。

日本も例外ではありません。金沢大学付属病院では2009年、高額医療診療部の機器の通信スピードが遅くなり、調べてみると140近いウイルスが検出され、院内のネットワークを一時遮断したとの報告もあるのです。

サイバー犯罪に気付けない恐ろしさ

一見、日本ではまだ目立った被害が出ていないように思われますが、サイバー攻撃は誘拐などの犯罪とちがって、ネットワークさえ繋がれば国によるボーダーが存在しません。どの国を標的にするのかは、犯罪者の意志ひとつで決められるのです。

それを防げるかどうかは、国家や業界が、医療セキュリティ体制をいかに強化していくかにかかっています。

しかし、日本政府のセキュリティ意識は、すでに被害がでている米国よりも低いと言わざるをえず、サイバー攻撃の監視体制すら整備されていないのが現状です。そのため、本来はサイバー攻撃だったにもかかわらず、その事実に気づくことすらできずに、水面下に潜れている被害も多いのではないかという見方もあるほど。

「何が原因で誤作動が起こったのか？」がわからなければ、実際にはサイバー攻撃による機器の誤作動が、現場、そして個人のミスとして処理されてしまう危険性もあります。

こうしたリスクを防ぐためにも、まずは、現場にいる看護師がネットワーク上で不用意にメールを受信しない・開封しないなどの危機意識を持ち、ちょっとした機器の異常に気づいた場合にはすみやかに上司に報告するなどの対応が必要です。

サイバー攻撃は、大病院以上にセキュリティ意識の低い中小病院が狙われやすいとも言われています。まずは、一人ひとりの看護師が危機意識をもち、その上で組織として対策をとっていく必要があるのです。

（参照）サイバー攻撃 医療機器標的（読売オンライン）