医療データの価値が急騰するなか、韓国の病院がサイバー攻撃の主要標的となっているが、相当数の医療機関は保安予算と専門人材の不足により事実上無防備の状態に置かれていることが明らかになった。
12日韓国保健社会研究院の「医療機関サイバーセキュリティ改善のための政策方策研究」報告書によると、上級総合病院(41カ所)と総合病院(222カ所)など全国の医療機関263カ所を対象に実施したオンライン調査の結果、44カ所(16.7%)は昨年の情報保護予算を全く編成していなかった。
情報セキュリティ予算は、情報システムの機密性・完全性・可用性を維持するための保護活動に投入される財源を意味する。
全回答医療機関の79.1%は情報セキュリティ担当人員が不足していると答えた。病院1カ所当たりの情報セキュリティ担当人員は平均0.9人で、事実上専任人員がいない水準であった。
病院規模によるセキュリティ投資格差も大きく表れた。上級総合病院の平均情報セキュリティ予算は8億2260万ウォンだったが、総合病院は5870万ウォンにとどまった。
セキュリティの空白は実際の被害につながっている。
直近3年以内にサイバーセキュリティ事故を経験した病院は、全回答機関の6.5%(17カ所)だった。事故原因(複数回答)は、外部サイバー攻撃が16件で最も多く、システム老朽化など技術的脆弱性13件、管理上の脆弱性10件が続いた。
ある総合病院はランサムウェア攻撃により約20テラバイト規模の患者映像データが暗号化され、一部データは永久的に損失した。別の小規模医院では患者診療記録へのアクセスが遮断され、ハッカーに仮想通貨約126万ウォンを支払った後にようやく復旧が可能だった。
バックアップデータを構築していながら、同一ネットワークに接続された状態で放置し、本データとバックアップデータが同時に損傷する事例も繰り返されていることが分かった。
研究チームは、医療機関のサイバー事故の相当数が、高度化したハッキング技術よりも、セキュリティパッチ未適用、アカウント管理不備、VPN脆弱性の放置など、基本的なセキュリティ管理の失敗に由来する場合が多いと分析した。こうした脆弱性は、診療の遅延や手術日程の混乱、医療データの損失など、実際の医療サービスの連続性にも直接的な影響を及ぼし得ると指摘した。
医療機関のデジタルトランスフォーメーションが急速に進んでいる点もリスク要因として指摘される。
電子医療記録(EMR)、医用画像保存伝送システム(PACS)、遠隔医療プラットフォーム、クラウドサービスなど多様な情報システムが接続された複合環境が構築されるにつれ、セキュリティ脆弱性が拡大する構造的特性が確認された。医療データ活用の拡大自体が、サイバー攻撃の標的化を強める要因として作用しているとの分析である。
ハッキング事故の対応体制も十分ではないことが明らかになった。
24時間のハッキング監視体制を運用する病院は、全回答機関の57%にとどまった。事故発生時に関係機関への通報をためらう傾向も確認された。
病院は通報忌避の理由(複数回答)として、法的負担(43.4%)と評判毀損の懸念(40.2%)を最も多く挙げた。患者情報流出に伴う責任や患者減少など経済的被害の可能性を懸念し、事故を外部に知らせない事例が少なくないと分析される。
現行制度にも限界があるとの指摘だ。個人情報保護法など一般の情報セキュリティ法体系は事故対応の全過程を包含するが、医療法体系は予防と探知中心の構造で設計されており、事故後の対応と復旧、事後評価体制は相対的に不十分であると分析された。
医療機関はセキュリティ問題の解決に向け、政府の財政支援が最も喫緊だと口をそろえた。
技術的助言や教育よりも、現場に即時投入可能な予算と人員の確保が優先だということだ。また、ハッキング通報率を高めるには、法的保護の提供と通報手続きの簡素化が必要だとの意見も示された。
専門家は、医療機関のサイバーセキュリティはもはや病院内部の情報技術問題ではなく、国民の生命に直結する国家保健医療体制の安定性の問題だと強調した。
研究チームは、短期的にはセキュリティ監視サービスの拡大とランサムウェア対応体制の構築が必要であり、中長期的には医療機器・サプライチェーンのセキュリティ認証制度の導入や自動化された事故通報プラットフォームの構築など、国家レベルの対応体制の整備が急務だと提言した。