レセコンにもセキュリティ対策は必要?
ランサムウェアによる被害が医療機関で多発しており、有名な市立東大阪医療センターでの被害のほか、徳島県の半田病院や無床診療所でも影響が報告されています。歯科診療所においても例外ではなく、2022年2月には関東地方の歯科医院でランサムウェアの感染が確認されました。
歯科レセコン(レセプトコンピューター)は診療報酬の請求業務に不可欠なシステムですが、そこには患者の氏名や生年月日などの個人情報が含まれいます。不正アクセスやマルウェア感染によって重大なコンプライアンス違反が発生するリスクがあるため、強固なセキュリティ対策が不可欠です。
参照:大阪保険医協会|勤務医フォーラム 2023年 2月 No.158[※PDF](https://oh-kinmui.jp/wp-content/uploads/2023/03/no158.pdf)
オンプレミスのレセコンなら大丈夫?
レセコンにはシステムの形態として「クラウド型」と「オンプレミス型」があります。一見すると、クラウド型はインターネット上にデータを置くため、情報漏洩のリスクが高いと思われがちですが、これは誤解です。また、自社内のネットワークだけで運用されるオンプレミス型であっても、必ずしも安全というわけではありません。
特に注目すべき点として、VPN機器の脆弱性を突かれた被害事例があります。報告された13件の被害はいずれもオンプレミス型のシステムで発生しており、院内のクローズドネットワークであっても攻撃の対象になり得ることを示しています。これは、オンプレミス型だからといってセキュリティ対策を怠ると、システムが容易に攻撃者に侵入されてしまう可能性があることを意味します。
レセコンへのセキュリティ対策は?
ID・パスワードを強固なものにする
歯科レセコンのセキュリティ対策として、まず重要なのはIDやパスワードを強固なものに設定することです。過去の被害事例では、IDやパスワードが初期設定のまま使用されていたり、院内で使われるパスワードがクリニック名のローマ字表記程度の簡単なものだったりしたことが、不正アクセスの原因となりました。そのため、安易なパスワードの使用は非常にリスクがあります。
レセコンのIDやパスワードを設定する際は、最低でも15桁以上とし、英字(大文字・小文字)、数字、記号を組み合わせた複雑なものにすることが推奨されます。これにより、第三者による推測や総当たり攻撃を防ぎやすくなります。加えて、定期的にパスワードを変更し、同じものを長期間使用し続けないようにすることも重要です。
また、Wi-Fiを利用する場合は、Wi-Fiルーターのセキュリティ設定を必ず確認し、強固な暗号化方式(WPA2やWPA3)を使用することが求められます。さらに、接続機器を制限し、許可された端末以外は接続できないように設定することで、不正アクセスのリスクを軽減できます。
セキュリティソフトの導入
歯科レセコンのセキュリティ対策として、セキュリティソフトの導入は欠かせません。ファイアウォール機能を適切に設定するとともに、コンピュータウイルス対策として専用のセキュリティソフトを導入することで、不正アクセスやウイルス感染のリスクを軽減できます。
Windowsを使用している場合は、標準搭載されているWindows Defenderを利用するのも一つの方法です。これは無償で提供されており、基本的なウイルス対策やリアルタイム保護機能を備えています。しかし、Windows Defenderを含む一般的なアンチウイルスソフトでは、ウイルスの亜種やファイルレスマルウェアといった高度な脅威に対して十分な防御ができない場合があります。
セキュリティソフトを導入したからといって安心せず、定期的なアップデートで使用しているセキュリティソフトやOSを常に最新の状態に保つこと、マルウェア対策を含めた日常的なセキュリティ管理が必要といえます。
レセコンを導入するベンダーへの確認
ベンダーのセキュリティ対策か十分かの確認も大切です。導入を検討しているベンダーがISMS(ISO27001)またはプライバシーマークを取得しているかを確認しましょう。これらの認証を持つ事業者であれば、情報セキュリティ管理がある程度の基準を満たしていると考えられます。また、保守契約の内容にも注意が必要。特に、契約書の中に「サイバー攻撃などの際にベンダー側が過失を負わない」といった条項が含まれている場合、トラブル発生時の責任の所在が不明確になる可能性があります。契約締結前にしっかりと確認し、不明な点は事前にベンダーに説明を求めるようにしましょう。
通信の安全性を確保するため、SSLサーバー証明書の導入状況をチェックすることも大切です。データのやり取りが暗号化されていない場合、情報漏えいのリスクが高まるため、適切な暗号化対策が講じられているかを確認しましょう。
定期的なバックアップ
データのパックアップを行うことで、万が一の際にも迅速に復旧しやすくなります。もしシステムがマルウェアに感染し、駆除が困難な状況に陥った場合でも、バックアップデータがあればレセコン本体を初期化し、安全な状態に戻すことが可能です。
データを人質にとるランサムウェアへの感染の際にも、バックアップが適切に管理されていれば、システムを初期化してバックアップデータから復旧することで攻撃の被害を抑えることができます。また、バックアップデータが同じネットワーク上にあると、マルウェアの影響を受ける可能性があります。外部ストレージやクラウドサービスを活用し、異なる場所に保管するのが望ましいでしょう。
