「行政的医療の継続的実現」を担保するため、情報セキュリティ教育を通して職員の意識の底上げを目指す。
- 地方独立行政法人
- 情報システム室 ご担当者 様
とある地方独立行政法人では、情報セキュリティ教育を「行政的医療の継続的実現」を担保するための重要なピースのひとつと捉え、各種施策に取り組まれています。セキュリオでの標的型攻撃型メール訓練機能の活用例をはじめとした、医療・病院での情報セキュリティ教育の重要性についてお話を伺いました。
※お客様のご要望により匿名でお声を掲載しております。
患者様の命を守るために欠かせない情報セキュリティ教育
貴法人の情報セキュリティに関する体制や教育について教えてください
医療現場において、情報セキュリティに関する意識を継続的に高めることは、患者様の命を守るために欠かせない要素です。
情報セキュリティを守るといったことは、第一に患者様の命を預かり、命を守るといった病院や拠点の目的を遂行するための基盤となります。24時間365日、滞りなく病院の診療を継続していくため、情報セキュリティの教育の必要性を強く認識しています。
情報が様々な攻撃にさらされる現代社会において、当法人の立ち位置からは所属する医療機関全体のセキュリティレベルを一律に底上げしていくことが対策として挙げられます。
情報セキュリティへの対応・体制として、本部には「CSIRT」を設置し、各病院にはサイバーセキュリティ担当者を配置しています。
担当者は、各病院の職員に対する情報セキュリティの周知活動も行っています。併せて、組織全体の情報セキュリティ対策を議論するための「サイバーセキュリティ委員会」を設置し、その決定事項を各病院の事務局に伝達しています。
また、年に1回、『セキュリティ強化月間』を設け、情報セキュリティ教育や標的型攻撃メール訓練を行っています。行政的医療の継続的な実現という使命のもと、情報セキュリティの意識を高めることは、その実現のための重要なピースであるとして職員に伝えています。
地方独立行政法人として、有事の際には、民間病院が対応できる範囲を超え、または先頭に立って医療を提供することが我々の使命です。そのためには、24時間365日、電子カルテや診療が途切れることなく提供されることが必須です。
情報セキュリティの意識を高め、セキュリティを維持することは患者様の命を守ることにつながると考えています。
職員の情報セキュリティ意識の向上のために、具体的にどのようなお取組みをされていますか。
年に1度の『セキュリティ強化月間』の中で、前年度は、所属する各病院の職員に対して、次の施策を実施しています。
- 標的型攻撃メール訓練(約1か月間)
- 情報セキュリティに関するeラーニングの受講
- 不要なデータをファイルサーバーから削除するクリーン期間
- チェックリストによる自己点検
- 医療情報ガイドラインに即した医療系部門システム等の棚卸
セキュリオを活用して約1万人を対象に標的型攻撃メール訓練を実施しました。
訓練の実施にあたり、各病院の担当者や現場責任者に対して訓練の目的と内容を事前に伝え、現場が混乱しないよう配慮しました。
医療現場では、診療活動を中断することは許されないため、このような配慮が必要となります。
セキュリオの特長として、訓練結果が表示されるダッシュボードの見やすさやデータの出力の容易さが挙げられます。
これにより、組織内での結果の共有や振り返りがスムーズにおこなえました。訓練期間終了後には、対象者に対して訓練に関するアンケートを実施し、現場からの直接的なフィードバックを得ることができました。
アンケート結果からは、「訓練メールを漫然と開いてしまった」といった自身の行動の振り返りや、「訓練を年に数回行った方が良い」という提案など、現場の声を直接掴むことができました。これらのフィードバックを通じて、医療従事者のメール・セキュリティに対する認識についての課題を再認識することができました。
今後は、実際の攻撃メールに近い形を装い、よりリアルな訓練をおこない、職員の攻撃メールに対する警戒心をより高める取り組みを進めていきたいと考えています。
情報セキュリティ教育を通して、意識を底上げしながら、個々人のマインドを変革する
情報セキュリティ教育に関する、今後の展望について教えてください
情報セキュリティ意識の向上は、教育施策を含む、地道な取り組みが必要となります。
これらの取り組みを継続することで、職員一人ひとりの意識が高まり、マインドの変化が促進されると考えています。
システムの整備に注力する一方で、最終的には個々人が自身を脅威から守る能力に掛かっています。個々のマインドを変えることは容易ではなく、近道はありません。サイバー攻撃の進化と医療現場での被害増加を考慮すると、情報セキュリティに関して遅れがちな医療現場においても、厳密な対応が求められる状況であり、情報セキュリティ意識の底上げがより重要になると想定しています。
情報セキュリティへの対策や対応、投資が不十分であると、医療現場では電子カルテから部門システムまでが停止し、最悪の場合、患者様の命を失う可能性があります。これは医療現場の性質上、想定し得る最悪のシナリオです。
情報セキュリティへのマインドセットと仕組みの整備は、複雑な医療システムの全体像を把握し、維持するための土台となりえます。
今後の医療現場におけるサイバーセキュリティ強化の観点からは、CSIRTや情報セキュリティを統括する部署が、医療現場でも可能な限り最新の情報をキャッチアップし、現状を把握することが求められます。そして、情報セキュリティの仕組みづくりやソリューションの導入を推進していくことが、なおのこと重要であると捉えています。
取材日:2024年5月