医療機関におけるサイバーBCP訓練・演習実施の必要性

医療分野におけるサイバー攻撃事案について、警察庁の発表によるとランサムウェアによる被害件数は2021年度に7件であったものが2022年度には20件に増加しており、実際に電子カルテ等のデータが暗号化されてしまい、復旧に2か月を要するなどして長期間診療継続に影響をおよぼした事例も複数発生しています。

また、厚生労働省が策定・公表している「医療情報システムの安全管理に関するガイドライン第6.0版」（以下「ガイドライン」）では定期的な訓練・演習の実施やその結果をBCPへ反映させる、いわゆるBCM取組の重要性が示されています。

加えて、医療機関の各種取組みへのインセンティブとなる診療報酬では「診療録管理体制加算」が2024年度の診療報酬改定で見直され、算定の要件に「少なくとも年1回程度定期的に、訓練・演習を実施すること。また、その結果を踏まえ、必要に応じて改善に向けた対応を行っていること」が追加されています。

このことから、サイバーBCPを踏まえた訓練・演習の実施は、すべての医療機関における喫緊の課題であると言えます。

本稿では医療機関でサイバーBCP訓練・演習を企画する担当者（以下「企画担当者」）向けに、訓練・演習実施のポイントについて解説します。なお、ここではサイバー攻撃に関する状況付与によって、発生しているインシデントへの対応検討を行うロールプレイ形式での訓練・演習を取り上げます。

サイバーBCP訓練・演習を企画・実施する際の手順

一般社団法人日本シーサート協議会が公表している「サイバー攻撃演習訓練実施マニュアル」によると、訓練・演習を企画・実施する際の手順は以下のとおりです。

(1) 訓練・演習目的の明確化

まずは訓練・演習を実施する目的を明確にします。サイバー攻撃を対象とした訓練・演習の目的は主に以下が挙げられます。

自施設のサイバー攻撃等に対する準備状況やインシデント対応上の課題、過去に実際に発生したインシデント等を踏まえて、表1を参考に目的を決定することが推奨されます。

【関連記事】

社内のセキュリティ対策を専門に行う「CSIRT（シーサート）」の概要や役割、自社で構築する上での手順とポイントについて解説しています。

(2) 対象となるシステムおよび参加者の決定

次にシナリオ上でインシデントが発生するシステムを決定します。医療機関であれば、診療継続の可否に直結する電子カルテ等の医療情報システムを対象とするのが一般的です。

続けて、訓練の参加者を決定します。参加者は訓練・演習の目的や対象となるシステム等を踏まえて決定しますが、経営に近い上位の役職者ほど全体的なリスク管理や危機対応が論点となり、一方で、現場に近い職員ほど自身の普段の業務範囲内での技術的な対応が論点となりやすいため、前述した訓練・演習の目的を踏まえて検討することが望まれます。

(3) 訓練・演習手法の決定

(1) (2)で決定した目的等を踏まえ、訓練・演習の具体的な実施方法を決定します。なお、前提として訓練と演習には、それぞれ表2のような目的や実施方法、メリット・デメリットの違いがあります。

また、ロールプレイ形式の訓練・演習では主に図1のような訓練・演習方法が存在します。

企画担当者は、自施設のBCP策定状況や役職員のサイバーインシデントに対する知識や対応の習熟度等も考慮しながら適した訓練・演習方法を選択する必要があります。

(4) シナリオ、状況付与の検討

ここまでに決定した目的等に合わせて、自施設のシステム構成を考慮しつつ、サイバー攻撃を受けた際に実際に発生し得る影響等を可能な限り現実的に想定し、シナリオを作成します。シナリオ作成では攻撃者側の視点に立ち、自施設をどのように攻撃するかを考え、被害を受けるシステムや情報等を想定します。

一から検討することが難しい場合は、過去に発生した医療機関へのサイバー攻撃事例について、詳細な報告書等が公表されているものを参考に、自施設で同じ事象が起こることを想定するのも一案です。なお、シナリオ検討では「DDoS攻撃等の攻撃の沈静化を待つしかないシナリオ」や「システム停止等の事象だけで原因が最後まで判明しないシナリオ」は対応が手詰まりになり、検討がうまく行かない可能性が高いためお勧めしません。

シナリオが決定したら、それを踏まえた状況付与を検討します。状況付与では作成したシナリオを防御側からの視点で捉え、自施設のインシデント対応フローに当てはめながら現場で発生する事象を整理し、状況付与の場面等を設定します。設定した状況付与は表3のように訓練・演習内での付与順やシナリオ上での発生日時、付与先（対象となる参加者）等と併せて一覧化します。

なお、あらかじめ企画担当者側で参加者に期待するアクション等を洗い出しておき、訓練の目的や参加者のレベルに応じて、状況付与を行う際に同時にヒントを示すなどの工夫も効果的です。

表3に状況付与の例を示しました。この例では過去に発生した医療機関へのサイバー攻撃事例を踏まえ、電子カルテ使用不可の報告からマルウェアへの感染が発覚したシナリオとし、インシデント対応フローのうち、異常検知（報告の受付）から診療部門等による応急対応までを状況付与の対象としています。

このように自施設の現状や課題に沿ったシナリオおよび状況付与を設定することで、(1)で設定した訓練・演習目的の達成を目指します。

(5) 訓練・演習当日の運営

訓練・演習の当日は企画担当者等が進行役となり、実施する目的や訓練・演習方法を説明した上で、(4)で作成したシナリオや状況付与を参加者へ提示します。参加者は目的や訓練・演習方法に沿って与えられたシナリオ等を踏まえながら、自施設における状況付与ごとに対応方針や具体的な手順、各部門への指示内容等を検討します。具体的な訓練・演習当日の実施イメージは、図2のとおりです。

(6) レビュー

企画担当者は実施した訓練・演習について、参加者へアンケートを実施するなどして、「目的の達成度」「訓練・演習への満足度」「訓練・演習を通じて得た気づき（サイバーインシデント対応における課題等）」「訓練・演習自体の改善点」等についての評価を受け、BCPや訓練・演習の内容に関する課題を洗い出します。

洗い出された課題を整理し、それを踏まえたBCPの見直しを検討したり、次回の訓練・演習の企画に活かしたりすることで、BCPの実効性向上やより効果の高い訓練・演習の実施に繋げます。　　

参加者へ実施するアンケート項目の例は表4のとおりです。

医療機関におけるサイバーBCPに今後求められること

医療機関におけるサイバーBCPの現状として、2023年度から実施されている医療法に基づく立入検査でのチェック等により、多くの医療機関で策定フェーズは終了し、今後は研修等による関係者への周知や訓練・演習の実施による検証・見直し等に取り組まれていくことと思われます。

訓練・演習等は繰り返し実施することによってマンネリ化してしまう傾向がありますが、その多くは「ガイドライン等で義務づけられているから」「加算を取得する要件になっているから」といった外部からの要請を満たすことのみを目的としてしまうことに要因があると思料します。

そのような要請を満たすことも重要ですが、前述した目的の例で示したように訓練・演習等を通じてBCPの実効性を向上させることで、診療の継続・早期復旧を図り、地域医療や自施設・法人の経営等への影響を最小限に抑えることを本来の目的とすべきです。

また、サイバー攻撃にはトレンドが存在し、毎年同じ内容のシナリオや状況付与ではそれに対応できないため、企画担当者は平時から情報収集を行い、その時期のトレンドに合った訓練・演習を企画することが求められます。

各医療機関におかれましては、このような目的意識を持って、自施設の現状や課題等に沿った訓練・演習を企画し、継続的に実施してください。

【関連記事】

サイバー攻撃を防ぐために、事前に行うべき対策について解説しています。

【参考資料】
1) 警察庁サイバー警察局「サイバー事案の被害の潜在化防止に向けた検討会報告書」令和5年3月
2) 厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版」令和5年5月
3)　一般社団法人日本シーサート協議会「サイバー攻撃演習訓練実施マニュアル」令和5年3月

MS&ADインターリスク総研株式会社発行の医療福祉ＲＭニュース（2025 No.1）を基に作成したものです。