Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

病院管理職向けサイバーセキュリティ机上演習シナリオの開発

46 Aufrufe

Veröffentlicht am

(公社)医業経営コンサルタント協会 近畿地区協議会・サイバーセキュリティ演習研究会の2018年度実績報告資料です。
日時:2019.08.28.(水)13:00~15:00 、場所:ホテル阪急インターナショナル

Veröffentlicht in: Gesundheitswesen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

病院管理職向けサイバーセキュリティ机上演習シナリオの開発

  1. 1. 近畿地区協議会[2018年度研究会実績報告] 病院管理職向け サイバーセキュリティ机上演習シナリオの開発 近畿地区協議会・サイバーセキュリティ演習研究会 発起人 総務委員(大阪府支部) 小川 敏治 (公社)医業経営コンサルタント協会 大阪府支部 継続研修 日時:2019.08.28.(水) 13:00~15:00 場所:ホテル阪急インターナショナル Ver 1.2
  2. 2. 1 0.本研修の目的 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
  3. 3. 0.本研修の目的 2 サイバーセキュリティ演習研究会の 2018年度実績報告&成果物の説明
  4. 4. 3 0.本研修の目的 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
  5. 5. 1.はじめに (1)背 景 「医療」分野を含め14分野の重要インフラ分野において、 サイバー攻撃に対するIT障害の未然防止、発生時の被害拡大防止・迅速な復旧およ び再発防止などを推進。 内閣サイバーセキュリティセンター(NISC) ■ 病院の診療業務に影響が発生することを前提に、病院の組織横断的な医療安全リ スクマネジメントが機能するかどうかを事前に検証しておくことが必要不可欠。 ■ しかしながら、サイバー攻撃による医療安全リスクマネジメント機能を検証し自病院 の緊急事態対応体制やルール(安全管理規程、業務継続計画(BCP)など)の不備 を洗い出し改善に繋げるような机上演習は官民学とも無い。 4 ■ 「災害拠点病院」の指定要件として、業務継続計画(BCP)策 定の義務化等を追加。 ■「医療機関等におけるサイバーセキュリティ対策の強化につい て」を発出し、医療関係機関に注意喚起。 厚労省 東京2020 オリンピック・ パラリンピック
  6. 6. (2)目 的 ■ サイバー攻撃を起因とした病院の組織横断的な各種リスクマネジメント機能 強化に寄与することを目的に、関連官庁、関係団体と連携して、病院管理職 層向けのサイバーセキュリティ机上演習シナリオを開発。 ■ 机上演習に参加者(病院職員)が、演習の体験や気づきを自病院に持ち帰 り、自病院のサイバー攻撃に対する対応計画「緊急事態対応体制やルール (安全管理規程、業務継続計画(BCP)など)」の見直しに繋げて頂く。 5
  7. 7. 当研究会が目指す「机上演習」の領域 6 IT部署のみ 組織横断 +外部連携 訓練&習熟 検証&改善 対応計画「緊急事態対応体制や ルール(安全管理規程、業務継続 計画(BCP)など)」 問題解決型 ロールプレイング
  8. 8. 当研究会が目指す「机上演習」のフロー 7 【アサイン】 プレイヤ(参加者)にシナリオ上 の病院職員の役職をアサイン。 (その役職に成りきってロール プレイング。) 【ファシリテート】 問題点をあぶり出すように、ファ シリテータが適宜状況を付与し、 プレイヤを課題に誘導。 【リアルな疑似体験】 プレイヤはシナリオで設定されたリアルな状況下で、実際に遭遇 する様々な場面を対応。 ファシリテータ (研究会メンバー) 机上演習シナリオ プレイヤ (参加者=病院職員) 【振り返り】 演習を振り返り、問題点を 抽出・整理しグループ発表。 (発表後、ファシリテータが コメント。) 【自病院への反映】 演習の体験や気づきを自 病院に持ち帰り、自病院の 対応計画を見直し。
  9. 9. 8 0.本研修の目的 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
  10. 10. 2.計画 (1)開発ステップ 9 全 体 計 画 机上演習シナリオ開発 机上演習試行 評価及び考察 病院ニーズ調査 ステップ1 ステップ2 ステップ3 ステップ4 ステップ5 10月 ↓ 2019年 1月 7月 ↓ 9月 6月 2月 3月 【研究員及び病院の募集】 本研究会の講師及び オブザーバーのご講演 【キックオフミーティング】 ①本研究会について ②年度計画 【病院ニーズ調査】 ①調査の分担と日程 ②調査項目 ③ニーズ抽出⇒シナリオ 【机上演習シナリオ開発】 ①演習実施計画書 ②内外環境設定書 ③演習課題書 ④その他 【机上演習試行】 2/16(土)午後 【評価及び考察】 ①演習結果評価 ②研究会報告書 公開セミナーステップ0 2018年 4月
  11. 11. 2018年4月公開セミナー ⇒ 研究員及び病院の募集 10 日時:2018 年 4 月 25 日(水) 10:00~17:00 場所:ホテル阪急インターナショナル 6階瑞鳥 ◆JR「大阪駅」より 徒歩 10 分 TEL06-6377-2100 「医療×ICT の展望」 ① 10:00~11:00「サイバー問題の全体俯瞰~既存保安等管理体制とサイバー攻撃の関係~」 講師:岡谷貢先生 NPO 日本ネットワークセキュリティ協会 問題検証型机上演習指導教官 ③ 13:00~14:00「セプターカウンシルや重要インフラ演習など政府の取り組み」 講師:有村浩一先生 (一社)JPCERT コーディネーションセンター 常務理事 ② 11:00~12:00「サイバー攻撃対処の実際」 講師:高倉弘喜先生 国立情報学研究所 サイバーセキュリティ研究開発センター長 教授 ④ 14:00~15:00「医療 IoT における安全管理とセキュリティ」 講師:茗原 秀幸先生 (一社)保健医療福祉情報システム工業会セキュリティ委員会長 第1部「サイバーセキュリティ」 外部有識者
  12. 12. 研究員(8名) 11 区分 氏 名 所 属 研究員 当協会近畿地区協議会 支部会員 大阪府支部 宮部 剛実 大阪府済生会吹田医療福祉センター 事務局次長 同 上 赤松 和弘 Apro's税理士法人 所長 同 上 澤田 哲朗 ビジネスフォース(株) 代表取締役 同 上 向 健二 officeあおぞら 税理士 向健二事務所 所長 奈良県支部 五十嵐 誠二 有限会社MEINS 代表 兵庫県支部 藤原 聡 特定医療法人財団清良会 財団事務局 滋賀県支部 岡本 倫明 株式会社増田医科器械 滋賀支店 支店長 大阪府支部 (発起人) 小川 敏治 one株式会社 代表取締役 (敬称略)
  13. 13. ご賛同・ご協力病院(9病院) 12 京都第一赤十字病院 洛和会音羽病院 竹田綜合病院 佐世保中央病院 熊本赤十字病院 社会医療法人 愛仁会 済生会 吹田病院 済生会 中津病院 多根総合病院 *五十音順
  14. 14. 外部有識者(9名) 13 区分 氏 名 所 属 講 師 当分野の第一人者で講師として招き、ご指導頂く。 岡谷 貢 NPO日本ネットワークセキュリティ協会 問題検証型机上演習指導教官 アドバイザー 当研究員の知識や経験を補うために、アドバイザーとしてアドバイスを頂く。 山田 夕子 社会医療法人 愛仁会本部 医療情報部 福本 洋一 弁護士法人 第一法律事務所 パートナー 飯田 哲哉 株式会社日本経営 組織人事コンサルティング部 堀内 武志 情報セキュリティスペシャリスト(情報処理安全確保支援士) プライバシーマーク審査員 オブザーバー 関係団体との連携の下、当分野の有識者のご協力を頂く。 有村 浩一 一般社団法人 JPCERTコーディネーションセンター 常務理事 高倉 弘喜 国立情報学研究所 サイバーセキュリティ研究開発センター・センター長 アーキテクチャ科学研究系・教授 茗原 秀幸 一般社団法人保健医療福祉情報システム工業会 医療システム部会 セキュリティ委員会 委員長 緒方 健 国立研究開発法人国立精神・神経医療研究センター 精神保健研究所 精神医療政策研究部 PECO研究委嘱セキュリティアドバイザー (敬称略)
  15. 15. ニーズ調査 7~9月 (2)体 制 当協会 近畿地区協議会 当研究会 2018.06~2019.03 ON:グループウェア OFF:1回/月(第3土) 近畿地区 各支部から参加 計8人 岡谷講師 アドバイザー 病院医療情報部職員 情報処理安全確保支援士 弁護士など オブザーバー JPCERT/CC 国立情報学研究所 保健医療福祉情報システム工業会 国立精神・神経医療研究センター ご賛同・ご協力病院 社会医療法人 愛仁会 済生会吹田病院 済生会中津病院 多根総合病院 京都第一赤十字病院 洛和会音羽病院 竹田綜合病院 佐世保中央病院 熊本赤十字病院 計 9病院 ご指導 ご支援 机上演習試行 2019.02.(大阪) 机上演習 シナリオ ご参加 5~6人/G×1G 募集案内 12月 ご指導 ご支援 14 (五十音順)
  16. 16. 15 0.本研修の目的 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
  17. 17. 3.開 発 (1)病院ニーズ調査 16 Ⅰ.調査目的 医療現場の実態に合った適正な演習シナリオを策定することを目的に、病院 ニーズ(課題)を調査した。 Ⅱ.調査項目 (1)業務継続計画(BCP)やサイバー攻撃対応規定の策定状況について (2)サイバーセキュリティ机上演習に対する要求と期待について Ⅲ.調査方法 訪問調査又は、アンケート送付調査 Ⅳ.調査期間 2018.08.22.~09.13. Ⅴ.調査対象 ご賛同ご協力病院 9病院
  18. 18. 病院ニーズ(課題)調査の結果(9病院) (1)業務継続計画(BCP)やサイバー攻撃対応規定の策定状況について 17 Q1 厚生労働省医政局指導課「病院におけるBCP の考え方に基づいた災害対策マニュアルにつ いて」(医政指発0904 第2号、平成25年9月4 日)に基づいて、事業継続計画(BCP)を策定 されていますか? Q2 厚生労働省「医療情報システムの安全管理に 関するガイドライン」の最新版(第5版)で、サ イバー攻撃時の対応について明記されました が、院内規程に反映されていますか? A1 A2 ■ ヒアリング及び備考欄へのご記入 「サイバー攻撃の特性におけるリスクを知り、自病院の規程やマニュア ルに反映したい。」などのご意見も頂いた。
  19. 19. 病院ニーズ(課題)調査結果(9病院) (2)サイバー攻撃に対する課題について 18 ⑤ サイバー攻撃の初動対応? ⑧ 所管官庁及び関連組織との連携体制? ⑨ マスコミ等報道機関の対応? ⑦ 患者情報漏えい事案発生時の対応? ① サイバー攻撃と医療安全との関係性の理解? ② サイバー攻撃の特性に対応した医療安全管理体制? Y.医療安全課題 X.患者情報漏えい課題
  20. 20. 19 0.本研修の目的 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
  21. 21. (2)机上演習シナリオ開発 20 テーマ(狙い)を2つに分け、シナリオX、Yを開発。 ⑤ サイバー攻撃の初動対応? ⑧ 所管官庁及び関連組織との 連携体制? ⑨ マスコミ等報道機関の対応? ⑦ 患者情報漏えい事案発生時の 対応? ① サイバー攻撃と医療安全との関係性 の理解? ② サイバー攻撃の特性に対応した医療 安全管理体制? Y.医療安全課題 X.患者情報漏えい課題 シナリオY 【テーマ】 「サイバー攻撃と医療安全の関係」 の理解及び体験 シナリオX 【テーマ】 サイバー攻撃による患者情報漏え い時の組織的対応
  22. 22. シナリオY 21 シナリオY 【テーマ】 「サイバー攻撃と医療安全の関係」の理解及び体験 ■場面設定 院内の電子カルテシステムが、脅迫型ウィルス汚染により使用できない状 況になり、医療安全管理委員会が招集された。 ■参加した病院職員(プレイヤ)が3段階毎に設定した複数の設問をその役職 に成りきって机上演習。 (1)初動段階及び判断対応段階(エスカレーション) (2)被害拡大段階(医療機器被害の判明) (3)応急復旧段階 電子カルテ システム、 医療機器
  23. 23. シナリオX 22 シナリオX 【テーマ】 サイバー攻撃による患者情報漏えい時の組織的対応 ■場面設定 外部から通報により、患者情報の漏えいが発覚し、対応が迫られている。 ■発覚後の調査で地域医療連携システムの当院側サブシステムからの漏え いが判明。 ■参加した病院職員(プレイヤ)が2段階毎に設定した複数の設問をその役職 に成りきって机上演習。 (1)初動対応段階 (2)外部関連組織対応段階 地域医療連 携システム
  24. 24. 机上演習シナリオの構成 23 ・サイバー攻撃 ・地震、火災、風水害 等の自然災害 ・操作ミス等の人的エ ラー ・機器の不具合 引き金事象 演習課題書 [シナリオY] 医療安全課題 【テーマ】 「サイバー攻撃と医療安全の 関係」の理解及び体験 患者情報漏えい課題 【テーマ】 サイバー攻撃による患者情 報漏えい時の組織的対応 演習課題書 [シナリオX] 内外環境設定書 当日の机上演習実施手順演習実施計画書 医療現場の実態に合った架空のモデル病院の内部及 び外部組織の設定で、演習課題書の設問に対応する ための前提条件 サイバー攻撃状況(タイムライ ン)及び場面毎の設問を設定
  25. 25. 内外環境設定書(モデル病院の内部環境) 24 病院調査 ⇒ 医療現場の実態に合ったモデル病院の内部環境を策定。 目 次
  26. 26. 内外環境設定書(関連組織等の外部環境) 25 関連組織、通達、ガイドライン等の調査 ⇒ 実態に合った外部環境を策定。 目 次
  27. 27. 演習課題書(シナリオ) 26 起こり得る可能性が高い状況や発生時に組織的影響度が極めて高い状況について、 実事例を調査し、サイバー攻撃の特性を演習課題書(シナリオ)に組み込み。 (1)宇陀市立病院「電子カルテシステムのランサムウェア感染」(2018.10) (2)香川大学医学部付属病院「標的型メールによる患者情報漏えい」(2015.6) (3)九州歯科大大学附属病院「標的型メールによるDDos攻撃の踏台に」(2015.6) (4)日本年金機構「不正アクセスによる情報流出事案」(2015.5) 「病院ニーズ(課題)」⇔「設問」⇔「サイバー攻撃の状況付与(タイムライン)」の相互関 係や流れを検討し策定。 実事例の調査 ⇒ 演習課題書(シナリオ)に組み込み
  28. 28. 演習課題書(シナリオY) 27
  29. 29. 28 【シナリオY概要】 ① 病院情報システム(複数の電カル端末、医療機器等)が脅迫型ウイルスに感染し 一部医療関連データが暗号化される等の事態が発生し、全電カル端末及び医療 機器の一部が使用不能となった。 【演習実施要領】 ①各プレイヤーは各々の配置役割(右図①~⑥)を演じ、 「各種既存対応マニアル類(内外環境設定書)」に基 づき、安全管理委員会としての判断対応を行う。 【演習場面】 ①医療安全管理委員会で緊急対応を協議している場面 病院長 事務局(事務部 長) 診 療 部 長 看 護 部 長 医 療 技 術 部 長 医 療 連 携 室 長 安全管理責任者(副院長) 情 報 シ ス テ ム 室 長 経 営 企 画 課 広 報 室 長 長 ① ② ④③⑤ ⑥ 演習課題書(シナリオY) * 青枠以外の病院職員や外部関係者は、ファシ リテータが担う。
  30. 30. 演習課題書(シナリオY) 一部抜粋 29
  31. 31. (1)初動段階及び判断対応段階(エスカレーション) 【設 問】 Q1.ウイルス感染システム障害時の対応基準、機器等停止範囲判断基準を定めているか? Q2.電子カルテシステム使用不能時の「診療継続・患者対応等初動対応手順」は検討済みか? Q3.院内医療安全管理体制の発動要否について、何を判断基準(根拠)としたか? Q4.外部関係組織への報告要領は規定されているか? 06:30 状況③[安全管理委員会招集] 「電カル運用中止!指示」 △月△日05:40 状況①[異常報告] 電カル端末に変な画面が出て使えない! 情報システム室 当直職員 演習課題書(シナリオY) 30 安全管理委員会 06:00 状況②[感染確認] 脅迫型ウイルス感染! 侵入経路は不明…
  32. 32. 演習課題書(シナリオY) 31 (2)被害拡大段階(医療機器被害の判明) 【設 問】 Q5.医療機器が被害対象になった場合の対応要領は検討されているか? Q6.医療機器が被害対象になった場合の関係部署への報告要領等は確立されているか? Q7.大阪府警への被害届は検討したか? (3)応急復旧段階 【設 問】 Q8.平常体制移行タイミングの判断基準及び移行手順は検討されているか? 安全管理委員会 13:40 状況⑥ [指示] 感染拡大防止の為、LANから切り離し 13:30 状況⑤ [報告] マンモグラフィが感染元と判明。 安全管理委員会 16:30 状況⑦ [報告] 汚染端末、サーバ初期化完了 バックアップ・データ仮復旧完了 16:45 状況⑧ [指示] 仮復旧、平常移行! 情報システム室 情報システム室
  33. 33. 1.当シナリオの狙い ①2025 年に向けた地域包括ケアシステム構築により、病院と介護事業 者等、多数の事業体との情報システムの連携が進むと予想される。 そうした環境下で患者情報漏洩事故が発生したと設定。 ②院内だけでなく、外部関連組織とリアルに対応するストーリーとした。 ③厚労省「安全管理ガイドライン」を守っているように見えて守っていない 病院が少なからず存在する現状を鑑み、注意喚起を含め、敢えて問題 のあるネットワーク設計及び運用を前提にした。 演習課題書(シナリオX) 32 地域連携協議会 大阪府保健医療室 大阪府警厚生労働省 マスコミ 内閣府個人情報保護委員会
  34. 34. 33 【シナリオX概要図】演習課題書(シナリオX) ③ 敢えて問題のあるネットワーク設計及び運用を前提。
  35. 35. 病院長 事務局(事務部長) 診 療 部 長 看 護 部 長 医 療 技 術 部 長 医 療 連 携 室 長 危機管理本部長(個人情報保護管理者) 情 報 シ ス テ ム 室 長 経 営 企 画 課 広 報 室 長 長 ① ② ④③⑤ 34 演習課題書(シナリオX) 【シナリオX概要】 ① 外部からの通報で患者情報漏えいが発覚し、当該病院が緊急対応(危機管理 本部を設置)を行っている段階とする。 【演習実施要領】 ① プレイヤーは、各々の役割(右図①~⑤)を 演じ、「既存規程類(内外環境設定書)」に 基づく組織対応を行う。 * 青枠以外の職員や外部関係者は、 ファシリテータが担う。
  36. 36. 演習課題書(シナリオX) 一部抜粋 35
  37. 37. 演習課題書(シナリオX) 36 (1)初動対応段階 11:00 状況⑤ [調査結果] ・基幹システム側に不正侵入・ 漏えいの痕跡は確認できない。 ・地域連携開示サブシステムか ら漏洩! 基幹システム ベンダーA社 危機管理本部 △月△日10:00 状況①[通報] 患者情報の漏えい 内閣サイバーセキュリティセンター [調査依頼] 11:10 状況⑥[指示] ・医療連携開示サブシステムの停止! ・病院情報システムを切り離し! ファシリテー タが設問に 誘導 【設 問】 Q1.危機管理本部設置要件、本部体制、命令系統、関係組織への初動報告、公表等の 初動対処要領?
  38. 38. 演習課題書(シナリオX) 37 (2)所管官庁等対応段階 厚労省 情参室 新聞社 13:45 状況⑨[クレーム] 複数関係 組織等 16:00~ 状況⑪[催促] 継続報告の催促 14:30 状況⑩[調査結果] 半年前に標的型メール! 13:10 状況⑧ [依頼] 取材依頼 14:30 状況⑩[調査結果] 医療連携端末にバックドア確認患 者 危機管理本部 11:20 状況⑦ [要請] 全システム調査要請! 【設 問】 Q2.漏えい情報の内容を確認する手段? Q3.サイバー事案関連所管等からの過剰な調査要請への対応? Q4.患者本人への対応、報道機関対応要領? Q5.複数関係組織からの錯綜的な状況報告指示への対応? Q6.府警への被害届提出? ファシリテー タが設問に 誘導
  39. 39. 演習実施計画書 38 当日の机上演習の実施手順について記述した文書を作成。
  40. 40. 事前配布 演習資料の事前配布 39 演習課題書 [シナリオY] 演習課題書 [シナリオX] 内外環境設定書 演習実施計画書 P42 P6 P6 P6 ■ 机上演習開催日の約3週間前。 ■ 参加する病院職員(プレイヤ)に事前配布。 ■ 演習資料を読み込み、演習課題書の設問に対する個人案を持って机上演 習に参加して頂くように案内した。
  41. 41. 40 0.本研修の目的 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
  42. 42. 机上演習試行 41 ⅰ.場 所:リファレンス 大阪駅前第 4 ビル 23F 貸会議室 No.2301 ⅱ.日 時:2019 年 2 月 16 日(土) 13:30~(13:15 受付開始) 13:30~13:40 ご挨拶(当協会近畿地区協議会 代表 吉田隆志) 13:40~13:55 机上演習の概要説明(講師 岡谷貢氏) 第1部 シナリオY(講師 岡谷貢氏) 13:55~14:15 演習説明 14:15~15:15 グループ検討 15:15~15:30 グループ発表 (休憩 10 分) 第2部 シナリオX(発起人 小川敏治、オブザーバー 茗原秀幸氏) 15:40~16:00 演習説明 16:00~17:30 グループ検討 17:30~17:45 グループ発表 17:45~18:00 解説(シナリオXのテクニカル部分) ■ご賛同ご協力病院9病院の内、3病院から計6名(企画部門2名、管理部門4名)の職員ご参加 ■「参加したいが、たとえ、土曜日でも万が一の為に医療の現場を離れたくない。」とのお声も有り。
  43. 43. ご挨拶 42
  44. 44. 机上演習の概要説明 43
  45. 45. 第1部 シナリオY 44 ファシリテータ(講師 岡谷氏)の誘導によりロールプレイング ファシリテータ(状況付与と議論コントロール) プレイヤ以外の役職及び外部関係者はファシリテータが模擬 プレイヤ 情報システム室長 プレイヤ 事務部長 (記録係) プレイヤ 副院長 医療安全管理責任者 プレイヤ 広報室長 (発表者) プレイヤ 看護部長 プレイヤ 診療部長 ■テーマ=「サイバー攻撃と医療安全の関係」の理解及び体験 ■場面 院内の電子カルテシステム及び一部医療機器がウィルス汚染により使用できない状況 になり、医療安全管理委員会が招集された段階。 (1)初動段階 (2)被害拡大段階 (3)応急復旧段階
  46. 46. 第1部 シナリオY 45 副院長(医療安全管理責任者)役 のプレイヤは状況を整理・確認し ながら検討を進めた。 また、プレイヤの内、記録係1名 を決め、各プレイヤがロールプレ イングで検討した内容(検討内容、 判断内容、問題点、課題点等)を その都度、簡潔に付箋に書き込 んで記録していく。
  47. 47. 第1部 シナリオY 46 ■演習終了後、記録した付箋をホワイトボードに貼り、検討(検証)結果を整理。 ■サイバー攻撃と医療安全の関係性が理解できた旨との発表を終えた。 最後に、「本来であれば、この後、検討(検証)結果を現状の組織体制や業務 継続計画(BCP)の見直しなどの「計画への反映」プロセスがある。」ことを補足 説明し第1部を締めくくった。
  48. 48. 第2部 シナリオX 47 ファシリテータ(発起人 小川、オブザーバー 茗原氏)の誘導によりロールプレイング プレイヤ 情報システ ム室長 プレイヤ 事務部長 (発表者) プレイヤ 副院長 危機管理本部長 プレイヤ 広報室長 (記録係) 発起人 小川 オブザーバー 茗原氏 ファシリテータ(状況付与と議論コントロール) プレイヤ以外の役職及び外部関係者はファシリテータが模擬 プレイヤ 医療連携室長 ■テーマ=サイバー攻撃による患者情報漏えい時の組織的対応 ■場面 外部から通報により、患者情報の漏えいが発覚し、当病院としての対応が迫られている 段階。 (1)初動対応段階 (2)外部関連組織 対応段階
  49. 49. 第2部 シナリオX 48 ファシリテータ(発起人 小川、オブザーバー 茗原氏)の誘導によりロールプレイング プレイヤ 情報システ ム室長 プレイヤ 事務部長 (発表者) プレイヤ 副院長 危機管理本部長 プレイヤ 広報室長 (記録係) 発起人 小川 オブザーバー 茗原氏 ファシリテータ(状況付与と議論コントロール) プレイヤ以外の役職及び外部関係者はファシリテータが模擬 プレイヤ 医療連携室長 【危機管理本部長】危機管理本 部で検討した結果、患者情報漏 えい事案の第一報をホームペー ジで公開することに決めたので すが、よろしいでしょうか? 院内だけで決めることができない事 案だと気づかせ、外部関係機関との 連携をとるように誘導。 【院長】地域医療連携に係る事案 だが、地域医療連携センター(地 域医療連携協議会)との合意はと れているのか? ■ ファシリテータにより、気づかせ、誘導しながらロールプレイング。 ( 事 例 )
  50. 50. 第2部 シナリオX 49 演習終了後、ロールプレイングを振り返って、問題点の抽出・整理。 ■ 検討(検証)結果の整理
  51. 51. 発表(シナリオX) 50 ■ USBの紛失という物理的な物の漏えいではなく、情報ネット ワーク経由の漏えいだったので、何故、漏れたのか、患者 情報の何が何件漏れたのかなど、漏えいデータの確認方法 や手段等がわからず、初動対応に苦慮した。 ■ また、その原因が標的型メールであったことなど、因果関係 が見えにくいことがサイバー攻撃によるリスク特性であるこ とがわかった。 ■それぞれの段階での問題点 ① 報告すべき所管官庁への報告の仕方やタイミング、報告内容(レベル感)などの報告手順が 不明確で対応に手間取った。 ② 関連組織との連携の方法や内容が具体的にどうすれば良いかわからず、効率よく連携出来な かった。 「これらの問題点の気づきに基づいて、現状の個人情報漏えい時の組織的対応ルールや 体制を見直せば良いことがわかった。」と発表を締めくくった。
  52. 52. [解説(シナリオXのテクニカル部分)] 51 オブザーバー 茗原氏((一社)保健医療福祉情報システム工業会 セキュリ ティ委員会委員長)が、「医療情報システムの安全管理に関するガイドライン」 を守っているように見えて守っていないシステム設計部分について、解説した。
  53. 53. 52 0.本研修の目的 1.はじめに (1)背 景 (2)目 的 2.計 画 (1)研究ステップ (2)体 制 3.開 発 (1)病院ニーズ調査 (2)机上演習シナリオ開発 (3)机上演習試行 4.まとめ
  54. 54. 4.まとめ 53 ■ 参加した病院職員の声 ○ 実際の場面が設定されたことで問題点や課題が具体的に洗い出された。 ○ 演習での「気づき」を自病院に持ち帰り、サイバー攻撃に対する被害拡大 防止や迅速な復旧への応用・展開、BCP(業務改善計画)の見直しにつな げたい。 ■ 本演習の満足度100%と予想以上の結果となり、本演習の有効性が確認 出来た。 Q1-1. サイバー攻撃の特性に関 する「気づき」が得られまし たか? Q1-2. 院内検討に資すると評 価しますか?
  55. 55. 54 近畿地区の会員の方々が、当成果物を利用して地元病院にサイバー セキュリティ演習をされたい場合は、ご一報を頂ければ、近畿地区協議 会で検討の上、当研究会メンバーが支援させて頂きます。 ■ 近畿地区各支部開催への支援 近畿地区の会員 当該支部長 近畿地区協議会 当研究会メンバーが支援
  56. 56. 55 医療機関をめぐるサイバーセキュリティへの関心が非常に高まっていること を示すように、NHK大阪放送局が「第1部 シナリオY」の様子を密着取材。 当日18:45~ NHK 関西ローカルニュースで放映! NHKニュースで放映! NHK撮影スタッフ
  57. 57. 56 私たちの前に道はない、私たちの後ろに道はできる

×