【10X薬局業務】薬局におけるサイバーセキュリティ対策チェックリストをGoogleスプレッドシートで作成しました

キユシト

2024年8月15日 22:29

最近、ニュースで医療機関がサイバー攻撃を受けたって話をよく聞くけど、うちの薬局は大丈夫かな？

それ、私も気になってた。患者さんの大切な情報を守るために、何か対策を取らないといけないよね。

そうなんだよね。でも、具体的に何をすればいいのか…。厚生労働省からサイバーセキュリティのチェックリストが出てるって聞いたけど、あれを使えばいいのかな？

そうそう、それだよ！実は、うちの薬局でもそのチェックリストを使ってセキュリティ対策を強化することになったんだ。厚生労働省が提供している雛形をもとにして作成したんだけど、あの雛形は参考になるものの、手書き用になっていて使いにくかったから、Googleスプレッドシートで使いやすいように最適化してみたんだ。

それは便利だね！スプレッドシートなら、誰でも簡単にアクセスできるし、進捗状況もリアルタイムで共有できるから、抜け漏れも防げそうだね。じゃあ、早速そのチェックリストを確認してみようか！

・・・

序論

近年、医療機関を狙ったサイバー攻撃が増加しており、薬局もその脅威にさらされています。患者様の大切な医療情報を守るため、薬局においてもサイバーセキュリティ対策は非常に重要です。2023年4月には改正薬機法施行規則が施行され、薬局の管理者はサイバーセキュリティ確保のために必要な措置を講じることが義務付けられました。

厚生労働省が公表している「薬局におけるサイバーセキュリティ対策チェックリスト」と「薬局におけるサイバーセキュリティ対策チェックリストマニュアル～薬局・事業者向け～」（以下、「チェックリスト」「マニュアル」）は、非常によくできた雛形ですが、手書きでの運用はどうしても煩雑になりがちです。そこで、これらを基に、Googleスプレッドシートでの運用に適した形に最適化しました。

↓↓下記のリンクをクリックするとコピーが作成されます(PC)
https://docs.google.com/spreadsheets/d/11rV6P8bf-M85M9MWM77I65K_Jo46Bu3u4_EMmjLjOD4/copy?usp=sharing

Googleスプレッドシートの編集方法｜コピーを作成すると編集できます。PCの場合はリンクをクリックするだけでコピーが作成できます。スマホやタブレットの場合は画面上の「︙」からコピーを作成することで編集できます。原本に影響がでるので編集リクエストはご遠慮ください。

チェックリストの概要

チェックリストとは？

チェックリストは、薬局が実施すべきサイバーセキュリティ対策を網羅的にまとめたリストです。各項目について、薬局のセキュリティ対策状況を「はい」または「いいえ」で自己評価し、不十分な対策があれば改善目標日を設定して対応を進めることができます。Googleスプレッドシートではチェックボックスを利用し、チェックしたセルを黒く塗りつぶすことで、チェックした項目がより分かりやすくなっています。

チェックリストの構成

このチェックリストは、「薬局確認用」と「事業者確認用」の2種類に分かれており、薬局と医療情報システム事業者が協力して対策を進めることが重要です。各チェックリストでは、大きく3つの区分に沿って具体的な対策項目が設定されています。

1. 医療情報システムの有無 (薬局確認用)
チェックリストの対象となる医療情報システムは、調剤レセプトコンピューター、電子薬歴システムなど、医療情報を保存するシステムだけでなく、医療情報を扱うすべての情報システムを指します。これには、事業者から提供されるシステムだけでなく、薬局が独自に開発・構築したシステムも含まれます。

2. 体制構築 (薬局確認用・事業者確認用)
セキュリティ対策を効果的に推進するためには、責任者を決めて体制を構築することが重要です。薬局では「医療情報システム安全管理責任者」などを、事業者では「医療情報システム等の提供に係る管理責任者」を設置することが求められます。

3. 医療情報システムの管理・運用 (薬局確認用・事業者確認用)
この区分では、具体的なセキュリティ対策項目が多数設定されています。例として、以下のような項目が挙げられます。

サーバ、端末 PC、ネットワーク機器の台帳管理
リモートメンテナンス（保守）を利用している機器の有無
医療情報セキュリティ開示書（MDS/SDS）の提出
アクセス利用権限の設定
不要なアカウントの削除
アクセスログの管理
セキュリティパッチの適用
接続元制限の実施
バックグラウンドで動作している不要なソフトウェア及びサービスの停止

このように、チェック項目は、大きく３つの区分に分けられ、各区分の中に具体的な対策項目が設定されている構成となっています。

チェックリストを使うメリット

自分の薬局のセキュリティ状況を簡単に把握できる
必要な改善点が明確になる
薬機法に基づく立入検査時にチェックリストの内容が確認されるため、事前に準備ができる

チェックリストの効果的な活用方法

定期的な自己点検: 少なくとも年に1回はチェックリストを用いて、現状のセキュリティ対策状況を点検しましょう。
事業者との連携: 薬局単独では対応できない項目もあるため、事業者と協力して対策を進めることが重要です。
継続的な改善: セキュリティ対策は、一度実施すれば終わりではありません。脅威の変化に応じて、常に最新の情報を入手し、対策をアップデートしていく必要があります。

各チェック項目の解説

ここでは、チェックリストの主要項目について解説します。

医療情報システムの有無（薬局確認用）

医療情報システムを導入、運用している。
薬局における医療情報システムとは、レセプトコンピューターや電子薬歴システムなど、医療情報を扱うシステム全般を指します。事業者から提供されるシステムだけでなく、薬局が独自に開発したシステムも含まれます。

1. 体制構築（薬局確認用・事業者確認用）

（１）医療情報システム安全管理責任者を設置している。

薬局では、医療情報システムの安全管理を統括する責任者として、「医療情報システム安全管理責任者」を設置する必要があります。この責任者は、情報セキュリティ方針の策定、教育・訓練の実施など、薬局全体のセキュリティ対策を推進する役割を担います。小規模な薬局では、薬局の管理者が兼任することも可能です。

2. 医療情報システムの管理・運用（薬局確認用・事業者確認用）

薬局と事業者が協力して、医療情報システムを安全に管理・運用するための具体的な対策を確認していきます。

（１）サーバ、端末PC、ネットワーク機器の台帳管理を行っている。（医療情報システム全般）

医療情報システムを構成する機器類（サーバ、端末PC、ネットワーク機器）は、それぞれが重要な役割を担っています。これらの機器の設置場所や利用状況を把握するために、機器台帳を作成し、適切に管理する必要があります。
機器台帳に記載する情報例: 管理番号、メーカー名、OS、ソフトウェア名・バージョン、IPアドレス、コンピュータ名、設置場所、主な利用者属性、登録日、状態、説明など

（２）リモートメンテナンス（保守）を利用している機器の有無を事業者に確認した。（医療情報システム全般）

リモートメンテナンスは、事業者が遠隔から医療情報システムにアクセスして保守作業を行うことです。便利な半面、セキュリティリスクも伴うため、薬局は事業者と協力して、リモートメンテナンスを利用する機器を特定し、適切なセキュリティ対策を講じる必要があります。

（３）事業者から製造業者/サービス事業者による医療情報セキュリティ開示書（MDS/SDS）を提出してもらう。（医療情報システム全般）

MDS/SDSとは、医療情報システムのセキュリティ機能に関する情報を開示した書類です。薬局は事業者を通じて、製造業者またはサービス事業者からMDS/SDSを入手し、医療情報システムのセキュリティ対策を適切に評価・管理する必要があります。

（４）利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。（サーバ、端末PC）

医療情報システムにアクセスできる人を制限し、権限の範囲内で操作できるようにすることで、情報漏れなどのリスクを軽減できます。そのため、利用者の職種や担当業務に応じて、アクセスできる情報や操作を細かく設定する必要があります。

（５）退職者や使用していないアカウント等、不要なアカウントを削除している。（サーバ、端末PC）

退職者や長期間使用されていないアカウントは、不正アクセスのリスクを高めるため、速やかに削除する必要があります。

（６）アクセスログを管理している。（サーバ）

アクセスログとは、誰が、いつ、どの情報にアクセスしたかを記録したものです。不正アクセスなどの問題が発生した場合の原因究明や、セキュリティ対策の強化に役立てるため、アクセスログを適切に記録・管理することが重要です。

（７）セキュリティパッチ（最新ファームウェアや更新プログラム）を適用している。（医療情報システム全般）

セキュリティパッチとは、ソフトウェアの脆弱性を修正するためのプログラムです。医療情報システムを安全に使い続けるためには、常に最新のセキュリティパッチを適用することが重要です。古いOSを使い続ける場合は、セキュリティリスクが高まることに注意が必要です。

（８）接続元制限を実施している。（ネットワーク）

接続元制限とは、特定のIPアドレスからのアクセスのみを許可するなど、ネットワークへのアクセスを制限するセキュリティ対策です。無線LANを使用する場合は、特に注意が必要です。

（９）バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。（サーバ、端末PC）

バックグラウンドで動作する不要なソフトウェアやサービスは、セキュリティ上のリスクとなる可能性があります。セキュリティ対策として、不要なソフトウェアやサービスは停止することが重要です。

3. インシデント発生に備えた対応（薬局確認用）

（１）インシデント発生時における組織内と外部関係機関（事業者、厚生労働省、警察等）の連絡体制図がある。

万が一、情報セキュリティインシデントが発生した場合に備え、薬局内や事業者、外部機関（厚生労働省、警察など）との連絡体制を明確化しておくことが重要です。緊急時の連絡先をまとめた 連絡体制図 を作成し、関係者間で共有しておくことが推奨されます。

（２）インシデント発生時に調剤を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している。

サイバー攻撃やシステム障害が発生した場合でも、薬局業務を継続できるように、データやシステムのバックアップと復旧手順を事前に確認しておくことが重要です。重要なファイルは、複数の方法で世代管理を行うことが推奨されます。

（３）サイバー攻撃を想定した事業継続計画（BCP）を策定している。

BCP（事業継続計画）とは、災害や事故などの緊急事態が発生した場合でも、事業を継続または早期復旧するための計画です。薬局では、サイバー攻撃を想定したBCPを策定することで、被害を最小限に抑え、速やかに復旧することが期待できます。

サイバー攻撃を想定した事業継続計画（BCP）策定の確認表のための手引き

FAQ

Q1: なぜ、薬局でもサイバーセキュリティ対策が必要なのですか？

A1: 近年、医療機関を狙ったサイバー攻撃が増加しており、薬局もその標的となっています。薬局には、患者さんの氏名、住所、薬歴などの重要な個人情報が保管されており、サイバー攻撃によってこれらの情報が漏えいしてしまうと、患者さんに大きな被害が及ぶ可能性があります。また、薬機法施行規則の改正により、薬局の管理者はサイバーセキュリティ確保のために必要な措置を講じることが義務付けられています。

Q2: 具体的にどのようなサイバー攻撃が考えられますか？

A2: サイバー攻撃には、以下のようなものが考えられます。

不正アクセス: IDやパスワードを盗み見たり、推測したりして、システムに不正にアクセスする攻撃です。
ウイルス感染: 悪意のあるプログラムを、メールの添付ファイルや不正なウェブサイト経由で送り込み、システムに感染させる攻撃です。
ランサムウェア: システムに感染し、データを暗号化して使えなくし、その復号と引き換えに身代金を要求する攻撃です。

Q3: どのような対策をすればよいですか？

A3: 厚生労働省が「薬局におけるサイバーセキュリティ対策チェックリスト」と「薬局におけるサイバーセキュリティ対策チェックリストマニュアル～薬局・事業者向け～」を公表しているので、これらの資料を参考に、自薬局の現状に合わせた対策を講じることが重要です。

Q4: チェックリストには、どのような項目がありますか？

A4: チェックリストには、大きく分けて以下の3つの項目があります。

体制構築: 医療情報システム安全管理責任者の設置など、薬局におけるセキュリティ対策の体制に関する項目です。
医療情報システムの管理・運用: サーバ、端末PC、ネットワーク機器などの管理や運用に関する項目です。
インシデント発生に備えた対応: インシデント発生時の連絡体制や、データのバックアップ、事業継続計画（BCP）などに関する項目です。

Q5: チェックリストは、どのように活用すればよいですか？

A5: まず、チェックリストの各項目について、自薬局の現状を自己評価し、「はい」または「いいえ」で回答します。「いいえ」と回答した項目については、マニュアルを参考に具体的な対策を検討し、令和6年度中にすべての項目で「はい」にマルが付くよう取り組むことが推奨されています。Googleスプレッドシートではチェックボックスを利用し、チェックしたセルを黒く塗りつぶすことで、チェックした項目がより分かりやすくなっています。

Q6: 事業者が別途用意する「事業者確認用」チェックリストは、どのように活用すればよいですか？

A6: 薬局は、事業者に対して「事業者確認用」チェックリストを送付し、対策状況の確認を依頼します。複数の医療情報システムを利用している場合は、システムを提供している事業者ごとに確認を依頼します。

Q7: チェックリストによる自己評価以外にも、必要なことはありますか？

A7: チェックリストはあくまでも対策の一例であり、記載されている対策を講じれば万全というわけではありません。厚生労働省のガイドラインや、セキュリティに関する情報提供サイトなどを参考に、常に最新の情報を収集し、自薬局の状況に合わせて、必要な対策を講じることが重要です。