 |
 |
2022年11月号-2 |
|
| サイバーセキュリティ対策の強化を要請 |
 |
| 厚労省 |
厚生労働省は11月10日、事務連絡「医療機関等におけるサイバーセキュリティ対策の強化について」を発出し、関係各位に注意喚起を呼び掛けた。
大阪急性期・総合医療センター(以下、センター)で、ランサムウェアによるサイバー攻撃事案が10月31日に発生し、電子カルテの閲覧・利用ができなくなり、地域の医療提供体制に影響が出た(11月17日から一般の救急患者の受け入れを再開)。厚労省で、センターに専門家チームを派遣して原因の調査と復旧支援を行ったところ、攻撃の侵入経路は、医療機関自身のシステムではなく、院外の調理を委託していた事業者のシステムを経由したものである可能性が高いことが明らかになったという。
こうした状況を踏まえ、取引先システムのサイバーセキュリティ対策なども踏まえた、必要な対策を講じていくことが求められている。事務連絡では、下記の対策が適切に講じられているか確認を要請。万が一、サイバー攻撃を受けた場合にも事業継続計画などにより地域住民への医療提供体制に支障が出ることのないよう注意喚起を求めた。
【サプライチェーンリスク全体の確認】
自組織だけではなくサプライチェーン全体を見て、発生が予見されるリスクを医療機関など自身でコントロールできるようにする必要がある。そのため、関係事業者のセキュリティ管理体制を確認した上で、関係事業者とのネットワーク接続点(特にインターネットとの接続点)をすべて管理下におき、脆弱性対策を実施する。
【リスク低減のための措置】
〇パスワードを複雑なものに変更し、使い回しをしない。不要なアカウントを削除しアクセス権限を確認する。多要素認証を利用し本人認証を強化する。
〇IoT機器を含む情報資産の保有状況を把握する。
○悪用がすでに報告されている脆弱性については、ログの確認やパスワードの変更など、開発元が推奨する対策が全て行われていることを確認する。
○VPN機器に対する管理インターフェースのインターネット上の適切なアクセス制限を実施。
〇メールの添付ファイルを不用意に開かない、URLを不用意にクリックしないこと。不審メールは、連絡・相談を迅速に行い組織内に周知する。
【インシデントの早期検知】
〇サーバなどにおける各種ログを確認する。(例:大量のログイン失敗の形跡の有無)
〇通信の監視・分析やアクセスコントロールを再点検する。(例:不審なサイトへのアクセスの有無)
【インシデント発生時の適切な対処・回復】
〇サイバー攻撃を受け、システムに重大な障害が発生したことを想定した事業継続計画を策定する。
〇データ消失などに備えて、データのバックアップの実施及び復旧手順を確認する。
〇インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、外部関係機関への連絡体制や組織内連絡体制などを準備する。
○インシデント発生時及びそのおそれがある場合には、速やかに厚生労働省などの関係機関に対し連絡する。
【金銭の支払いに対する対応】
厚労省としては、サイバー攻撃をしてきた者の要求に応じて金銭を支払うことは、犯罪組織に対して支援を行うことと同義と認識しており、以下の観点により金銭の支払いは厳に慎むべきである。
〇金銭を支払ったからといって、不正に抜き取られたデータの公開や販売を止めることができたり、暗号化されたデータが必ず復元されたりする保証がないこと。
〇1度、金銭を支払うと、再度別の攻撃を受け、支払い要求を受ける可能性が増えること。
|
|
|
2022年11月号-1 |
|
| 医療機関・保健所の証明書取得に配慮求める |
|
| 厚労省 |
厚生労働省は11月4日、今冬に新型コロナウイルスと季節性インフルエンザが同時流行する可能性があることを踏まえ、検査結果や陰性証明に関する書類提出を従業員などに求めないことを企業や学校に徹底するよう要請する事務連絡を都道府県に発出した。
事務連絡では、今冬に向けて今夏を上回る感染拡大が生じる可能性があることに加え、季節性インフルエンザも流行し、より多数の発熱患者が生じる可能性があることから、発熱外来をはじめとする外来医療体制について、これまで以上の強化・重点化を進めていくこととなっている。こうした対策を効果的に実施できるよう、同時流行対策タスクフォースでも、「同時流行に備えた対応」についてコンセンサスをとったとしている。
その上で、新型コロナウイルスについては、以下の対応を求めている。
▽従業員または児童など(以下、従業員など)が新型コロナウイルス感染症に感染し、自宅などで療養を開始する際、当該従業員などから、医療機関や保健所が発行する検査の結果を証明する書類や診断書を求めないこと
▽やむを得ず証明を求める必要がある場合であっても、真に必要のない限り、医療機関や保健所が発行する書類ではなく、従業員などが自ら撮影した検査の結果を示す画像などにより、確認を行うこと
▽当該従業員などが職場や学校等に復帰する場合には、医療機関や保健所が発行する検査陰性の証明書や治癒証明書などの提出を求めないこと
▽従業員などが保健所から新型コロナウイルス感染症の患者の濃厚接触者と認定され、待機期間が経過した後に、職場または学校などに復帰する場合には検査陰性の証明書などの提出を求めないこと
▽従業員など以外の者(顧客や来訪者などを想定)に対して、新型コロナウイルス感染症の感染の有無を確認する必要がある場合には、可能な限り、抗原定性検査キットにより自ら検査した結果などで確認を求めることとし、真に必要のない限り、医療機関や保健所から発行された療養証明書(紙)の提出を求めないこと
また、同様に季節性インフルエンザについて、▽従業員などが季節性インフルエンザに感染し、自宅などで療養を開始する際、当該従業員などから、医療機関が発行する検査の結果を証明する書類や診断書を求めないこと、▽従業員などが季節性インフルエンザに感染し、当該従業員などが職場や学校等に復帰する場合には、医療機関が発行する検査陰性の証明書や治癒証明書などの提出を求めないこと――が示された。 |
|
|
|
|
|
総合建設業 みづほ工業株式会社