皆さんは「訓練」と聞いてどのような訓練を思い浮かべますか?一般的には大雨・洪水訓練、火災訓練、地震訓練などが挙げられると思います。阿南医療センター(以下、当院)で今回実施したのは、サイバー攻撃に対する訓練です。遡ってみますと、2021年10月には徳島県内の公立病院がランサムウェアと呼ばれるウィルス感染により診療データが暗号化され、診療が約2ヶ月停止した事を記憶されている方も多いと思います。その翌年には大阪府の大規模医療機関の被害も発生し、医療業界のみならず、他の業界でも日々被害の報告が挙がっているのが現状です。医療業界では、先述のサイバー攻撃対策に関し、厚生労働省より手引き等が発出されております。当院でも2023年5月にサイバー攻撃に関する事業継続計画:IT-BCP(Information Technology Business Continuity Plan)を策定しており、この度、厚生労働省の手引き等を参考に改版を行なっており、このIT-BCPの内容として年1回以上の訓練を行うこととし、今回の訓練実施に至っております。
今回は初回の訓練という事で、院内全館を巻き込んだ大規模訓練は行わず、サイバー攻撃被災時を想定した対策本部設置および必要備品確認訓練を行いました。訓練の前提が、当院内の電子カルテシステムをはじめとした病院情報システムおよびインターネット系Wi-Fiも利用不可として実施し、訓練参加者には、当方からの説明後、当院大会議室内の机・椅子・ホワイトボードの組み換え、その後、振り返りとして配置確認や必要備品の洗い出しを行いました。医療機関としては、普段当たり前に利用できている電子カルテシステムが利用出来ないという事は大きなインパクトであり、ほぼ診療停止を意味する事になります。当院ではサイバー攻撃被災時の緊急カルテ参照の仕組みを構築しておりますが、インターネット環境が必要である為、今回の訓練の前提であるインターネットWi-Fiまでもが利用不可となった場合の対策も立てる必要がある事を痛感しました。訓練後のディスカッションとしては、初回訓練であるにも関わらず、参加者からは活発な発言があり有意義な訓練になったと思います。今後は、訓練実施報告書を取りまとめ、全職員向けに報告・周知を行い、加えて、定期的・段階的に訓練を重ねていく予定です。
最後になりましたが、医療機関の運営というものは、医療者のみで回っている訳ではありません。当方所属の医療情報システム部門が平時からの管理等を行い、今回の訓練のように有事の際は、医療情報システム部門が中心に病院全体として協力して体制を整備し、慌てずやるべき事に取り組めるようにしておく事が訓必要だと考えております。当院としましては、今後も安心・安全な医療を地域の皆様に提供出来るよう平時より取り組んで参りますので、引き続き、阿南医療センターをよろしくお願いいたします。
阿南医療センター 情報管理課 課長
医療情報システム安全管理副責任者
大村 和弘