Japan Association for Medical Informatics

[2-H-1-4] 医療機関におけるセキュリティインシデントの事例調査

今井 哲郎1, 豊増 佳子1, 川口 孝泰1, 布広 永示2 (1.東京情報大学 看護学部 遠隔看護実践研究センター, 2.東京情報大学 総合情報学部)

医療機関におけるセキュリティインシデントの事例分析についてはこれまでに,アメリカ保健福祉省のWebサイトにリスト化されている事故事例を収集し,発生要因別に分類した報告がある.日本においても調査報告があるが,これらの研究の多くは,報道機関からの情報や医療機関が自ら公表した情報に基づくものであった.そのため公表された情報は,実際に発生しているセキュリティインシデントに対する氷山の一角である可能性がある.本研究では,日本の医療機関におけるセキュリティインシデントの真の実態を明らかにすることを目的として,Web上の調査と併せて特定機能病院に対するアンケート調査を実施し,これらの各事例を分析した.その結果Web情報調査では,3つのサイトから2005年~2017年に発生した100件のインシデントが抽出された.全般に紛失などの人的要因によるインシデントが多いこと,また大学系・公共系・民間の病院の各カテゴリでインシデントの発生要因比率には差があることなどが確認された.例えば,システム化が発展している大学系病院ではシステム的要因の割合が多く,民間病院では盗難等の外的要因の発生割合が多かった.特定機能病院へのアンケート調査では,回答が得られたのは84機関(85病院)のうち12機関(約14.3%)に留まった.各病院のセキュリティインシデントの共有化に対する意識の低さがアンケートの回答率として表れることとなった.「セキュリティインシデントに遭遇した経験がある」と回答したのは8つの機関であり,要因としては置き忘れ・紛失などの人的要因によるものが多いが,ランサムウェア等のウィルス感染・ホームページサーバへのDDOS攻撃等の不正アクセス事例の報告も確認された.今後はさらに調査を継続して行うことによって,より明確な実態調査と経時的観測を図る予定である.