一般社団法人 日本医療情報学会

[2-I-2-02] 徳洲会グループ:USBメモリ利用環境のセキュリティ整備と統一について

*浅井 延洋1、塚本 庸明2、赤坂 将平3、福原 吉幸4、山口 純和5、寺田 邦弘6、庄畑 吉之助6、小林 恒太6、福田 秀樹6、髙橋 則之6 (1. 生駒市立病院 指定管理者 医療法人徳洲会, 2. 医療法人徳洲会 名古屋徳洲会総合病院, 3. 医療法人徳洲会 仙台徳洲会病院, 4. 医療法人徳洲会 茅ヶ崎徳洲会病院, 5. 医療法人徳洲会 湘南藤沢徳洲会病院, 6. 徳洲会インフォメーションシステム株式会社)

Ransomware, Cyber Attacks, Virus infection, USB Memory Stick, Security Measures

背景・目的
昨今病院を標的にしたランサムウェアなどのサイバー攻撃やウイルス感染、USBメモリ紛失による個人情報漏洩などが年々増加し、徳洲会グループ(以下グループ)でも2019年に複数の病院でUSBメモリ経由でのウイルス感染報告があった。
その対策として電子カルテ導入済のグループ病院65施設を対象にUSBメモリの取扱いについて調査を実施し、病院毎にUSBメモリの機能、USBメモリを利用できる電子カルテ端末の設定内容や台数、USBメモリでのデータ移行運用ルールが大きく異なる事が判明した。グループとしてUSBメモリの利用環境の共通ルールを作る事でグループ統一のセキュリティ対策に取り組んだ。

方法
グループの電子カルテ導入病院で、利用しているUSBメモリの種類、電子カルテサーバのアクティブディレクトリによるUSBメモリ使用可能端末の設定有無、デバイス制御ソフトによる使用可能なUSBメモリの限定の有無を調査した。調査内容から①グループで統一するセキュリティ機能付USBメモリの選定②アクティブディレクトリ・デバイス制御ソフトを使用したUSBメモリ利用環境設定のマニュアル化③USBメモリを用いたデータ移行のルール制定④病院規模別のUSBメモリ利用可能端末の推奨台数の設定を行い全病院へ周知した。

結果・考察

前述の①~④の周知後、全病院のSEにアンケートを行ったが、USBメモリによるウイルス感染や個人情報漏洩は発生していない。また、SEの8割が今回の統一化に伴う設定作業および院内周知・運用変更に苦労したと回答したが、9割が電子カルテ系ネットワークのセキュリティ設定に対する不安が軽減されたと回答した。
今後はインターネットに接続できる端末についてもUSBメモリの運用を統一、更に専用クラウドサービス導入によりUSBメモリを利用しないデータ移行運用を実現し、グループの情報セキュリティ対策を更に向上させたい。