奈良県宇陀市は2月28日、2018年10月16日に宇陀市立病院にてウイルス感染による医療情報システムが使用不能な状況となった件について報告書を発表した。
同市は本件で、厚生労働省及び奈良県による同病院への立入調査を受け、原因分析や被害状況の実態把握、再発防止策等の報告を行うよう奈良県より行政指導を受け、2019年1月に市長を本部長に「市立病院コンピューターウイルス感染事案対策本部」を設置、2019年3月には第三者委員会として「市立病院コンピューターウイルス感染事案有識者会議」を設置、有識者5名の委員から原因分析と再発防止に向けた提言書を受け、これらを取りまとめ報告書として公表した。
本報告書によると、2018年10月16日に宇陀市立病院のの医療情報システムの中核である電子カルテシステムがウイルス感染し、電子カルテシステムの利用が不可能となり、さらにシステムデータが暗号化され、復旧に必要なバックアップデータ作成に必要な磁気テープが装填されておらず、バックアップも正しく取得されていなかったため、システムを停止し、電子カルテシステム他、影響のあるシステムの再構築を行ったため10月18日まで電子カルテシステムを全面停止した。なお、システム停止期間中は紙カルテにて診療を継続した。
ウイルス感染の影響については、同病院の電子カルテシステムのデータファイルが暗号化されたため、患者カルテの参照が行えなくなり、医療情報システム全体に影響が及んだが、2019年3月に復元に成功し、現在は全ての電子カルテデータの参照が可能となっている。なお、本件事案発生月の診療報酬請求に影響が及んだため福祉医療費助成制度等に基づく償還に遅れが発生した。
また、電子カルテシステムの復旧を優先したため、システムログの保全を行わずにシステムの再セットアップを実施したことにより正確な原因究明ができない状態となり、個人情報の漏えいについては明確に否定できないが、現時点での個人情報漏えいや悪用の被害報告は無い。
市立病院コンピューターウイルス感染事案有識者会議では、2018年10月と2019年3月に本件の原因調査をセキュリティ対策ベンダーに委託したところ、同病院が感染したウイルスはランサムウエア「GandCrab」で、本来は外部のネットワークに接続されていない電子カルテを含む診療部門システムサーバ4台、診療部門端末2台、ウイルス対策サーバ1台、看護部門サーバ1台の感染が判明した。なお、電子カルテシステムが暗号化されたが、同病院では解除代金の要求には応じていない。また、感染した機器が初期化され証拠保全がなされなかったために感染経路の特定は行えなかった。
有識者会議では、調査結果と議論を踏まえ、本来はインターネットに接続していない環境に、病院職員もしくは委託業者等が、何らかの「ルール違反」を犯してインターネットに接続し、外部からの侵入を許してしまったこと、医療情報システムの導入にかかる業者の管理や障害時対応の適切な運用体制が構築、運営されておらず、監督すべき病院のガバナンスに問題があったことを原因として結論づけている。
同市では今後、有識者会議からの提言に沿って、組織の見直し、緊急時における対応の見直し、職員研修・訓練、運用管理規程と運用管理体制の見直しを行いガバナンスを強化、短期的対策と中長期的対策に分けてシステム的対応の観点から再発防止策を策定した。
同市は本件で、厚生労働省及び奈良県による同病院への立入調査を受け、原因分析や被害状況の実態把握、再発防止策等の報告を行うよう奈良県より行政指導を受け、2019年1月に市長を本部長に「市立病院コンピューターウイルス感染事案対策本部」を設置、2019年3月には第三者委員会として「市立病院コンピューターウイルス感染事案有識者会議」を設置、有識者5名の委員から原因分析と再発防止に向けた提言書を受け、これらを取りまとめ報告書として公表した。
本報告書によると、2018年10月16日に宇陀市立病院のの医療情報システムの中核である電子カルテシステムがウイルス感染し、電子カルテシステムの利用が不可能となり、さらにシステムデータが暗号化され、復旧に必要なバックアップデータ作成に必要な磁気テープが装填されておらず、バックアップも正しく取得されていなかったため、システムを停止し、電子カルテシステム他、影響のあるシステムの再構築を行ったため10月18日まで電子カルテシステムを全面停止した。なお、システム停止期間中は紙カルテにて診療を継続した。
ウイルス感染の影響については、同病院の電子カルテシステムのデータファイルが暗号化されたため、患者カルテの参照が行えなくなり、医療情報システム全体に影響が及んだが、2019年3月に復元に成功し、現在は全ての電子カルテデータの参照が可能となっている。なお、本件事案発生月の診療報酬請求に影響が及んだため福祉医療費助成制度等に基づく償還に遅れが発生した。
また、電子カルテシステムの復旧を優先したため、システムログの保全を行わずにシステムの再セットアップを実施したことにより正確な原因究明ができない状態となり、個人情報の漏えいについては明確に否定できないが、現時点での個人情報漏えいや悪用の被害報告は無い。
市立病院コンピューターウイルス感染事案有識者会議では、2018年10月と2019年3月に本件の原因調査をセキュリティ対策ベンダーに委託したところ、同病院が感染したウイルスはランサムウエア「GandCrab」で、本来は外部のネットワークに接続されていない電子カルテを含む診療部門システムサーバ4台、診療部門端末2台、ウイルス対策サーバ1台、看護部門サーバ1台の感染が判明した。なお、電子カルテシステムが暗号化されたが、同病院では解除代金の要求には応じていない。また、感染した機器が初期化され証拠保全がなされなかったために感染経路の特定は行えなかった。
有識者会議では、調査結果と議論を踏まえ、本来はインターネットに接続していない環境に、病院職員もしくは委託業者等が、何らかの「ルール違反」を犯してインターネットに接続し、外部からの侵入を許してしまったこと、医療情報システムの導入にかかる業者の管理や障害時対応の適切な運用体制が構築、運営されておらず、監督すべき病院のガバナンスに問題があったことを原因として結論づけている。
同市では今後、有識者会議からの提言に沿って、組織の見直し、緊急時における対応の見直し、職員研修・訓練、運用管理規程と運用管理体制の見直しを行いガバナンスを強化、短期的対策と中長期的対策に分けてシステム的対応の観点から再発防止策を策定した。
