昭和23年に佐波伊勢崎医療事務市町村組合立の病院として開設し、令和4年度に創立74年を迎えた伊勢崎市民病院。現在の同院は、25の診療科を有する494床(一般病床490床、感染症病床4床)を運営し、伊勢崎佐波とその周辺地域を医療圏として、がん医療、循環器医療および救急医療を中心とした高度急性期医療を担う地域の中核病院として稼働しています。同院では、事務部門や医療を支える部署で利用する目的として、クラウド型メール統合サービスのActive! worldを導入し、Webメールの添付ファイル画像化オプションや誤送信防止オプションのActive! gate SSにより、インバウンドとアウトバウンド双方のセキュリティ対策の強化を実現しました。
医療機関に急増するサイバー攻撃への対策が急務
伊勢崎市民病院の経営企画部医療サービス課情報管理係長の関根克浩氏は、医療機関におけるメールのセキュリティ対策に取り組んできた経緯について、次のように切り出します。「きっかけは、昨年度に私が情報管理係長として当院に赴任してきたことです。当時、当院の事務職や診療を支援する部署では、メールクライアントソフトにOutlookを使いホスティング先のメールサーバーにアクセスしていました。当院の情報システムは、電子カルテとインターネットを完全に分離するセキュリティ対策を施し、安全性を確保していましたが、メールによるサイバー攻撃が増えていたので、セキュリティレベルをさらに高める必要があると考えていました」。
関根氏は伊勢崎市民病院に赴任する以前は、市の職員としてマイナンバー制度のシステム運用に携わり、情報セキュリティ対策の最前線で知識と経験を積んでいました。そうした知見から関根氏は「メールのログを残せないOutlookの運用には、セキュリティ対策の観点から限界がありました。また、運用管理の面でも、メールをクライアントソフトで利用するのではなく、Webメールにするべきだと判断しました。そうした課題を当院の情報システム委員会で提案し、メールのセキュリティ対策の必要性を理解してもらいました。そんなときに、四国にある病院がサイバー攻撃を受けて電子カルテが利用できなくなり、診療が止まる事件が起きました」と検討の背景を話します。原因は、Emotetによるランサムウェアで、厚生労働省でも重く受け止められ「医療情報システムの安全管理に関するガイドライン」が改定され、伊勢崎市民病院にもセキュリティ対策の強化を求める通知などが届いていました。
関根氏は「サイバー攻撃により診療が停止するほどの被害が発生すると知り、病院事業管理者や病院長をはじめとした当院の幹部も医療分野における情報セキュリティ対策の重要性を再認識しました。そこで、情報セキュリティレベルを向上するために、外部とのやり取りの窓口となるメールのセキュリティ対策を重視してメールシステムの更改に取り掛かりました」と振り返ります。
経営企画部 医療サービス課
情報管理係長
関根 克浩氏
セキュリティ対策の強化においてActive! mailの
添付ファイル画像化オプションが効果的と判断
関根氏は「メールクライアントソフトによる運用では、マルウェアによるランサムウェア感染やメール誤送信による情報漏えいなどのリスクが高く、厚生労働省が求める情報セキュリティ対策を満たせません。高度化し多様化する新たなサイバー攻撃に対抗するためには、信頼性の高いセキュリティ対策が施されているクラウド型メールサービスを導入する必要があると判断しました」とメール更改の理由を説明します。そうした考えから、数社のクラウド型メールサービスの検討がスタートしました。サービスの選定において「サイバー攻撃につながるメールを受け取らないインバウンドヘの対策に加え、アウトバウンドには、誤送信による情報漏えいの防止と脱PPAPの実現が必要でした。そうした条件で選定の候補が数社に絞られたところで、実際にテスト環境を用意してもらい、1カ月ほど利用してみました。その中で、インバウンドヘの対策としては、添付ファイル画像化オプションに注目しました」と関根氏は話します。
添付ファイル画像化オプションは、受信した添付ファイルは、パスワード付きZipファイルでも、Webブラウザー上で画像として、チェックができます。この機能を評価した関根氏は「当院には、海外の大学や病院などからもいろいろなメールが届きます。添付ファイルがあると、以前はローカル端末にダウンロードして開かなければなりませんでした。脅威の侵入経路は90%以上がメールの添付ファイルと言われています。そこで、添付ファイルの画像化オプションを利用すれば、ダウンロードする前にファイルを目視で確認できるので、サイバー攻撃を受けるリスクを低減できます。この機能が決め手になり、Active! worldの採用を決めました」加えて、「Active! worldのWebメールインターフェースとして採用されているActive! mailは、官公庁での導入実績も豊富にある点も安心でした」と選定の理由を話します。
オプションのActive! gate SSも契約して誤送信防止にも対応
添付ファイル画像化オプションとActive! gate SSによる誤送信防止も含めて、2022年2月から伊勢崎市民病院でのActive! world利用がスタートしました。「当院には約1,000名の職員が勤務していますが、まずは事務部門と看護部門や調剤部門などで利用するために100ライセンスから運用を開始しました。Outlookからの切り替えは、1日で完了し、移行はとてもスムーズにいきました。Webメールの画面は、直感的に操作できるので、マニュアルなどを用意しなくても、職員は大きな混乱もなく使えるようになりました」と移行の容易さに触れ「Active! gate SSでは5分間の送信メールの一時保留と添付ファイルのWebダウンロードを活用しています」と関根氏は運用の状況を説明します。また、クラウド型メール統合サービスのActive! worldに移行したメリットについては「運用管理の面で、情報管理係の業務負担が軽減されました。WebメールなのでPCの機種などハードウェア端末に依存せず利用できるので、導入してよかったと思います」と関根氏は評価します。
継続的なセキュリティ対策の強化に向けた取り組みを継続
今後に向けた取り組みについては「コロナ禍の中でメールによる非接触な連絡方法の重要性が増しているので、スモールスタートで始めたActive! worldのライセンス数を最適化し、インターネットを利用した業務の効率化を図っていく予定です。また、現在は分断されているインターネット系のネットワークと院内の電子カルテのネットワークを将来的には、仮想化環境を構築して安全に連携させようと計画しています」と関根氏は話します。さらに「医療を止めない病院であり続けるため、ウイルスをメールで受け取らないことはもちろん、関係者にも送らないことを目指しています。しかしながら、公立病院では、事務部門の担当者が定期的に異動します。私も何年か先には当院を離れることになります。そのときに、Active! worldを安全に運用できる体制も整備していかなければなりません。担当者が代わっても安全に運用できる体制への支援や技術サポート、そして最新のセキュリティ情報の提供など、クオリティアには今後も当院のメールを安全に利用するための協力を願っています」と関根氏は期待を寄せます。