インシデント調査報告書について
大阪急性期・総合医療センターは令和4年10月31日早朝に発生したサイバー攻撃により電子カルテを含めた総合情報システムが利用できなくなり、救急診療や外来診療、予定手術などの診療機能に大きな支障が生じました。地域における中核的な役割を担う病院として、府民の皆様、とくに患者さんをはじめとする関係者の皆様に多大なるご迷惑、ご心配をおかけいたしましたことを、改めて深くお詫び申し上げます。また、さまざまな形でご支援をいただいた多くの皆様に厚く御礼申し上げます。
事件発生当日、電子カルテの異常を覚知し、ランサムウェアによる重大なシステム障害が発生していることが判明したため、幹部職員を招集して状況把握と紙カルテの運用など当面の診療体制の方針を決定しました。また、大阪府立病院機構本部、大阪府、大阪府警、大阪市保健所、内閣サイバーセキュリティセンター、厚生労働省医政局などの各方面に連絡をしました。特に厚生労働省からはサイバーセキュリティ初動対応支援チームの専門家が派遣され、発災当日からWEBを通じて多くの支援・有益な助言をいただき、ベンダーの方々の協力を得て、原因の究明に努めるとともに、職員および関係者が一丸となって復旧に取り組みました。
サイバー攻撃によるシステム障害を想定したBCP(事業継続計画)はそれまで策定されていませんでしたが、当センターは大阪府の基幹災害拠点病院であり、さまざまな災害に対応するためにBCPを整備、更新しており、これまでの災害対応の経験を生かして、発災当日の正午には第1回の「大規模システム障害における事業継続対策本部会議(BCP)会議」を開催し、医療現場の状況の把握、当面の医療継続の方針の決定などを行いました。BCP会議は当初は連日、3週目以降は数日おきに開催し、紙カルテの運用方法など診療現場での各部門間の対応のすり合わせを行いました。このようにして一部の入院診療を継続するとともに、外来診療を再開・漸増させることができました。また、BCP会議とは別に病院、基幹ベンダー、ネットワークベンダー、専門家チーム等の関係者によるシステム復旧会議が連日開催され、初動対応、進捗状況および復旧スケジュールの協議等が行われました。
地域における中核的な役割を担う病院で診療継続に障害が生じたという社会的責任から、発生当日に第1回目の記者会見を行い、以降も状況の進展に応じて記者会見や報道資料提供等により情報発信を行いました。
職員、関係者の皆様のご尽力により、障害発生から約6週間後に電子カルテシステムを含む基幹システムを再稼働させることができ、外来での電子カルテ運用が再開しました。12月中には病棟での電子カルテ運用を再開し、続いて通常診療に係る部門システムも令和5年1月11日に再開して、診療体制が復旧しました。
システムの再開にあたっては、計2,000台以上のサーバーおよび端末を初期化してクリーンインストールを行うとともに、今回指摘された脆弱性の改善を実施し、今後の更なるサイバー攻撃に対しても対応できるための対策に取り組みました。
そして、このような事態を招いた原因究明と再発防止について検討いただくために外部有識者による情報セキュリティインシデント調査委員会を設置しましたところ、猪俣委員長をはじめ委員各位にご尽力いただき、多角的な視点からなる報告書と提言をまとめていただきました。今後、本提言を真摯に受けとめ、「ITガバナンスの確立」に全力で取り組んでいく所存です。また、本提言を公表することにより、全国の医療機関においてセキュリティ対策強化の取り組みに役立てていただければと存じます。
今回のシステム障害を通じて痛感したのは、電子カルテを含む情報システムなしでは診療のみならず医事、会計などすべての部門で病院の運営が立ち行かなくなってしまうこと、そして、それを支える医療情報システムには数多くの脆弱性が存在していることです。今後は各病院がセキュリティ強化に自ら取り組むとともに、厚生労働省をはじめとする行政からの具体的な支援、指導が不可欠であると考えています。
地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター
総長 嶋津 岳士
情報セキュリティインシデント調査委員会報告書(PDF) |
情報セキュリティインシデント調査委員会報告書概要版(PDF) |