よくある質問
① 電子カルテから紙媒体運用に切り替えた場合の問題点と課題は何であったか?
② 電子カルテが再開するまで、運用上で最も問題になった点は何か?
③ 病棟で電子カルテが障害となったときに困ったことは何だったか?
④ 復旧後の紙カルテや紙伝票の入力は誰がどのように行ったのか?
⑤ 同じ給食業者と連携していた他の病院が無事だったのはなぜか?
⑥ なぜDACSは無事だったのか?
⑦ なぜバックアップがあったのに復旧に時間がかかったのか?
⑧ 今回のサイバー攻撃で、身代金は支払ったのか?
電子カルテから紙媒体運用に切り替えた場合の問題点と課題は何であったか?
- 医師が手書きで書いた紙伝票(処方箋、検査依頼など)は、字が汚く読みにくく、誤認が多発するため、確認作業に時間も労力も必要となりました。誤記載、記載漏れも多数発生しました。要因として、若手から中堅職員は紙カルテ運用の経験がなく、手書きに不慣れな点があります。
- 紙カルテに慣れた職員であれば、診療録記載内容の訂正方法(横線2本で訂正、修正印など)は経験していますが、電子カルテしか知らない職員は訂正方法を理解しておらず、黒塗りすりなど診療録として不適切な状況が散見されました。
- また、誰が紙をデリバリーするか、何枚コピーするかなど調整ができておらず、その都度、関係者で協議し運用を検討しながらの対応となっていました。
- 紙カルテ時代には、検査依頼などの複写対応(カルテ綴じ込み、検査依頼先、医事会計用など)にしていたような紙伝票は、システム障害において急に短期間使用目的の複写様式を、印刷業者に発注作成することもできないので、必要枚数分をコピーで対応することになります。病院の規模によっては、大量にコピーが必要になりますので、BCP策定に際しては、コピー機の台数や設置場所の検討が必要です。場合によっては短期間のコピー機リースの検討も必要です。また、実際に紙カルテ運用になると決定された際には、コピー用紙とトナーの大量発注も必要となります。
- 手書きに慣れない医師からは、診療記録用のPC設置を要求されることも多かったです。ただし、インターネットに接続されたPCで診療記録の入力や管理を許可する訳にはいきませんでしたので、オフラインのPCであることを条件に診療記録を入力することを許可しましたが、PCの数は限られていました。システム障害中にどのようにPC入力を許可するかについては、安全なPCの確保も含めて、BCP検討での課題と言えます。
電子カルテが再開するまで、運用上で最も問題になった点は何か?
- 各現場では様々な問題が起きていましたが、運用上最も問題となったのは、電子カルテの患者情報を参照できなかったことでした。
- 患者の診療録や患者基本情報が確認できないため、病名がわからない、手術もできない、救急も受けれない、患者家族に連絡が取れない、だれが何の目的で来院するのかもわからない、予約状況がわからない、誰が入院しているのかわからない等、暗中模索のなかで診療を行わなければなりませんでした。
- 当センターの場合、DACSと呼ばれる診療記録文書統合管理システム(Document Archiving and Communication System)が被害を免れていたので、DACSからの参照環境を発生2日目より端末2台で開始し、20台まで参照端末を増やしながら診療体制を拡充していくことができました。また、オフライン(LTOテープ)によるバックアップデータも利用可能であったことから、バックアップによる参照環境を障害発生11日目より開始し、参照端末20台により過去の電子カルテ情報を確認することができるようになりました。参照環境が構築されるまでの期間は、医療継続はなかなか厳しいものがありましたが、参照環境が整備・拡充される都度、診療体制を拡大していくことができました。
病棟で電子カルテが障害となったときに困ったことは何だったか?
- 入院患者一覧、ベッドマップ、患者基本情報、患者搬送方法など、入院患者にかかわる情報を、患者それぞれに確認してまわりながら、手書きで再作成しなければなりませんでした。前日までの手書きメモや、紙媒体の帳票などを頼りに患者情報収集に努めました。患者から確認できない場合は、本来であれば患者家族に確認すべきところですが、その家族の連絡先がシステム障害でわからず苦労しました。
- リストバンドが作成できず、またバーコード認証もできないため、患者認証にさらなる対策(フルネームと生年月日)が必要となりました。
- 勤務表も自動作成ができないため、エクセルで勤務表のひな型を作り運用しました。
復旧後の紙カルテや紙伝票の入力は誰がどのように行ったのか?
- システム復旧後の紙データの再入力は、組織的には原則行っていません。紙カルテを全てスキャンし電子カルテ端末からDACSで閲覧可能とすることにより、診療録としての体裁を整えています。なお、各担当医の裁量により、障害期間中のサマリー記載などの入力を行っていた事例もあります。
- システム復旧後に、組織的に電子カルテに再入力したのは、以下の項目です。
・入院履歴
・病名
・食事歴
・看護必要度 - 医事会計については、システム復旧後に障害期間中の会計情報を順次、医事請求担当者が紙情報より手入力しました。医師による電子カルテへの再入力(オーダー入力)が行われなかったため、オーダー情報の医事会計システムへの取り込みはできませんでした。
- 入院の紙カルテは、システム障害が発生した令和4年度中に全てスキャンを完了していますが、外来の紙カルテについては通常業務の合間で対応しました。そのため回収からスキャンまでに時間を要し、令和6年7月になって、ようやく全てのスキャンが完了しました。
- 薬局や検査部門などコメディカル部門においても、紙媒体のデータ再入力は行わず、必要があればスキャンを行い対応していました。
同じ給食業者と連携していた他の病院が無事だったのはなぜか?
- 当該医療機関に確認したところ、実際に被害当日は、不正アクセスの形跡はあったようですが、入り口となる給食システムを構築した事業者と電子カルテを構築した事業者が異なっており、ネットワークセグメントやサーバーパスワードが異なっていたようです。結果として、契約関係や運用関係の相違により、他の医療機関は被害には至らなかったようです。
- 当センターの場合、サイバー攻撃の発端となった給食事業者に対し、意図せずに提供していた当センター側給食システムサーバーのパスワードが、当センター電子カルテ群サーバーと同じ共通のパスワードでありました。さらには、そのIDに管理者権限を持たせていたため、攻撃者から不正侵入された際に、給食サーバーだけにとどまらず、電子カルテ群への水平展開を許してしまい、大規模かつ長期間のシステム障害に至ってしまいました。
なぜDACSは無事だったのか?
- 電子カルテを構築したシステムベンダーと、DACSやPACSを構築したシステムベンダーが異なっていたため、ネットワークセグメントが異なり、またサーバーパスワードも異なっていたため、一定の防波堤効果となり、侵害を防げたものと考えています。
- 他にも、化学療法など一部の部門システムは別調達でセグメントも別だったため、被害を免れたので、ウイルスチェックの上で業務を継続することができました(化学療法も被害翌日より再開)。
- パスワードを共通化しないことは当然ですが、全体のネットワークの中で、セグメントの構成を考えながら構築することが重要であったことを思い知らされました。システムの中で、特に重要なサーバーを選別し、それぞれ別のセグメント内で運用するようなネットワーク設計を行うべきだったと反省しております。
なぜバックアップがあったのに復旧に時間がかかったのか?
- 大きな理由の一つとして、2度と同じような重大インシデントを引き起こしてはいけない覚悟をもって、脆弱な初期設定を強固なセキュリティ仕様に変更するための設計変更が必要だったからでした。具体的には以下の設定の見直しを行い、部門システムとの連携テストも含めた各種テストを行う必要があったため、相当の時間が必要となりました。
項目 | 障害前 | セキュリティ強化後 |
パスワードポリシー(長さ) |
3文字以上(実際にはサーバー12文字、ユーザ9文字で運用) |
16文字以上(全ユーザ) |
パスワードポリシー(アカウントロック) |
アカウントロックの設定無し |
アカウントロックを設定 (試行期間:15分、失敗回数:5回まで、ロック後のリセットまでの時間:15分) |
パスワードポリシー (一意性) |
サーバーのパスワードがすべて同じ
ユーザのパスワードがすべて同じ |
サーバー毎、ユーザID毎に全て異なるパスワードを設定 |
セキュリティパッチ | 構築時点(2018年2月)で評価されているものまでを適用 | 全てのサーバー、端末のセキュリティパッチを最新化(2022年11月時点のものを適用) |
アンチウィルス | 電子カルテ基幹系サーバー4台については未導入/その他は導入 | 電子カルテ基幹系サーバー4台にも導入 |
アプリ実行ユーザ | 管理者権限で実行
⇒強力な権限を保持 |
一般ユーザで実行 ⇒重要なシステム変更などができない適切な範囲の権限のみを保持 |
UAC(サーバー) | 無効 | 有効 |
UAC(クライアント) | 無効 | 有効 |
RDPポート |
デフォルト(3389) ⇒第三者に推察され易い |
デフォルトから変更(新たな番号)
⇒第三者に推察され難い |
Active Directoryの強化設定 | ベンダー設定 |
サーバー:CIS Benchmarc クライアント:IPAガイドライン |
- もう一つの大きな要因として、病院内各所に散在している端末約2,200台を、全て初期化し再インストールを行ったためです。「端末を回収」⇒「ハードディスク取り出し」⇒「初期化」⇒「複製」⇒「再取り付け」⇒「端末再配布」という作業を2,200台分行う必要がありました。
- なぜ全台初期化の判断を行ったかというと、システム障害発生時の調査で、およそ1300台に及ぶ院内機器に対する不正アクセスの試行記録が確認されたためです。機械的なアクセスと思われるものの、どこにどのようなバックドア(サイバー攻撃により侵入された後に、攻撃者の入り口を設置されてしまう手口の総称)が仕掛けられているのかを全て調査することは時間的にも物理的にも不可能であったため、1日でも早い全面復旧を目指していくためには、全台調査を進めるよりは、全台初期化の方が早期復旧できると判断したものです。
- 職員が各端末に作成保存していたデータを消去することになりましたが、電子カルテの早期復旧を最優先にした苦渋の決断ではありました。職員のみなさまには大変な負担をかけてしまいました。
今回のサイバー攻撃で、身代金は支払ったのか?
- 身代金については、一切支払っていません。身代金の支払いは、反社会勢力に対する供与に該当する場合もありますので、公的機関である当センターの場合は、支払の検討すら一切行っていません。
- また、仮に身代金を支払ったうえで暗号化を解除できたとしても、本当にそのデータが正しいのか、真正性に問題がないのかについては疑義の残るところです。
- 当センターにおいても、すべてのサーバーおよび端末の調査を行い、暗号化されていない機器は継続使用する選択肢もありましたが、調査に相当な時間が必要なうえ、各機器の真正性も保証が得られないことから、苦渋の決断でしたが、大部分のサーバーと端末PCのクリーンインストールを実施したところです。その影響もあり、復旧まで2か月を要しました。