メニュー

ある記事をきっかけに医療施設「徳島県つるぎ町立半田病院」について調べたメモ

2022年1月29日 - malware, ransom
ある記事をきっかけに医療施設「徳島県つるぎ町立半田病院」について調べたメモ

■概要

2022年01月22日、共同通信社より「サイバー攻撃対策、経営責任に」という記事が出ておりました。内容は、政府が重要インフラ事業者のサイバーセキュリティ対策において経営陣の責任を明確化する検討を始めたというものです。関係者によると今春に5年ぶりの抜本改定を予定している「重要インフラ行動計画」に盛り込むそうで、情報漏洩などによる損害が発生した場合は、会社法上の賠償責任を問う可能性があるとのことでした。こちらに関しては関係者からの聞き取りであり具体的なことは示されていないためこの段階でコメントすることは時期尚早かと思います。気になったのはこの記事の中にあった「重要インフラを狙った主なサイバー攻撃」と表で紹介されていたものでした。それをきっかけに調査を行ったことをメモしていきます。

 

■気になった表

まずは、前述の気になった表について触れます。その表は2列で構成され、左側に年と月を右側にサイバーセキュリティ起因の事故の概要というものでした。その表にあった内容をざっくりと箇条書きにすると以下の通りになります。

・2015年05月 日本年金機構の情報漏洩
・2015年12月 ウクライナの大規模停電
・2021年02月 米フロリダ州水道システムの水酸化ナトリウム濃度変更
・2021年05月 コロニアルパイプラインの操業停止
・2021年02月 徳島県つるぎ町立半田病院のランサムウェア感染

国内外の事例を5つ挙げていたのですが、「徳島県つるぎ町立半田病院のランサムウェア感染」は少し毛色が違うような感覚がありました。この事案はボクが自分なりに力を入れて調べているテーマの1つであるランサムウェア事案であるため個人的にとても注目していた事案ですが、色々と普段からニュースをチェックしてきた感覚では、他と比較すると若干注目度や報道のトーンも低めだったように思います。

しかし、言うまでもないかもしれませんが「医療」は、内閣サイバーセキュリティセンター(以下、NISC)の「重要インフラの情報セキュリティ対策に係る第4次行動計画」の 別紙「対象となる重要インフラ事業者等と重要システム例「PDF]」にも挙がっており、歴とした重要インフラ14分野の1つです。

改めてこのドキュメントを確認してみると注釈が付いていました。

これまで国内外のランサムウェア事案を調査してきました。2016年の「Hollywood Presbyterian Medical Center」や2018年の「Hancock Regional Hospital」。最近では、「Springhill Medical Center」や「Universitätsklinikum Düsseldorf」など。最近の2例はどちらも人命に関することでも話題になった事例です。事例を知り、そこからどういった事件なのかということを調査してきたためその医療機関の規模を意識したことはありませんでした。病院 = 重要インフラ くらいの意識だったと思います。NISCのドキュメントにあった以下の注釈をきっかけに医療施設について調べてみることにしました。

「ただし、小規模なものを除く。」これに半田病院は該当するのか。しないのか。

 

■医療施設について調べる

どのようなものが小規模にあたるのか。徳島県つるぎ町立半田病院(以下、半田病院)はどのような規模に分類されどのような位置付けの医療施設なのかを手探りではありますが調べていきました。

●施設の類型
厚労省のウェブサイトの「令和3年版厚生労働白書 資料編」の「I 制度の概要及び基礎統計」「保健医療[PDF]」には下図のような定義がありました。

医療法においては、医業を行うための場所を病院と診療所とに限定し、病院と診療所との区分については、病院は20床以上の病床を有するものとし、診療所は病床を有さないもの又は19床以下の病床を有するものとしている。

との記載があります。病床数によって「病院」か「診療所」かを分類していました。19床以下であれば小規模であると言えそうです。
半田病院のウェブサイトにて病床数を確認したところ、概要のページに以下のような表記があり病床は120床とのことが分かりました。

「小規模なもの」には当てはまらないように思いますが、念の為、他に分類が無いか追加調査をしてみたところ「令和2(2020)年受療行動調査(概数)の概況」の「調査の概要[PDF]」には下図のような記載がありました。

上図で今回の調査で必要なそうなところを表にすると下表の通りです。

特定機能病院 医療法第4条の2に規定する特定機能病院として厚生労働大臣の承認を得ている病院
大病院 特定機能病院、療養病床を有する病院を除いた一般病院で、病床規模が 500 床以上の病院
中病院 特定機能病院、療養病床を有する病院を除いた一般病院で、病床規模が 100 床~499 床の病院
小病院 特定機能病院、療養病床を有する病院を除いた一般病院で、病床規模が 20 床~99 床の病院

特定機能病院の定義については、前述の病床数による分類を行っている資料中[PDF]にありました。


ちょっと理解が追いつかなかったので定義の下に書かれてある「承認を受けている病院(令和3年4月1日現在) … 87病院」を頼りに一覧表がないか探したところ「特定機能病院について」というページに「 一覧表(令和3年11月1日)[PDF形式]」がありましたのでそちらを確認しました。

確認したところ徳島県にある特定機能病院は「徳島大学病院」のみでした。これで半田病院は特定機能病院ではないことが分かりました。次に、療養病床です。こちらは前述した病床数の表記のところに「病床数 120床(内、地域包括ケア病床 8床)」とあったため半田病院は療養病床を有していない一般病院ということになり病床数のみで分類に当てはめることになります。結果としては、「床規模が 100 床~499 床の病院」に当てはまり「中病院」に分類できます。ここからも半田病院は小規模ではないと言えるのではないでしょうか。

 

●半田病院が担う役割の大きさ

半田病院が小規模な医療施設ではなさそうであるということは分かりました。実は、ボクの親族の中には徳島出身の者がおり、徳島へは何度も訪れたことがあります。ボクは大阪、東京での生活をしたことがありますが、車がないと生活できないようなところでの生活も経験しています。そういった都会とは呼べないところでは、この病院が頼みの綱、ここが無ければかなりの時間をかけて別の病院にいかなければならないというようなこともあります。少し遠い徳島に訪れた記憶からは自分が住んだどの地域よりそれが色濃いような印象があります。そこで、半田病院が担う役割の大きさについても手探りではありますが調べようと色々な検索ワードでアプローチしていたのですが2つのワードによって分かったことがありました。

 

・「美馬 災害 病院」で検索
半田病院は美馬郡にあるためこれらの地域で災害が起きた際、もしくはそれを想定したような情報が無いかを調べました。すると検索結果に「徳島県災害拠点病院 – Wikipedia」というものがヒットしたので見てみると半田病院はこれに指定されていました。

災害拠点病院はWikipediaの説明によると

災害拠点病院(さいがいきょてんびょういん)とは、日本において、地震・津波・台風・噴火等の災害発生時に災害医療を行う医療機関を支援する病院のことである。

とのことです。また、災害拠点病院には条件があるとのことで、それは以下の通りです。

・建物が耐震耐火構造であること。
・資器材等の備蓄があること。
・応急収容するために転用できる場所があること。
・応急用資器材、自家発電機、応急テント等により自己完結できること。
(外部からの補給が滞っても簡単には病院機能を喪失しないこと)
・近接地にヘリポートが確保できること。

徳島県は3つの圏に分けられており、災害拠点病院は、合計11拠点あります。
圏ごとに色分けし、それぞれの病院の位置にピンを立てたものが下図になります。(ヘリコプタのアイコンになっている箇所はヘ屋上ヘリポートがある病院です)。

半田病院は3つの圏の西部保健医療圏(ピンク色)に割り当てられており、その圏内には2つの病院があります。これにより、有事の際の半田病院の担う役割は大きなものであると言えるかと思います。

 

・「救急医療 美馬」で検索
半田病院のWikipediaによる説明には以下のように記述されています。

徳島県美馬郡つるぎ町にある町内で唯一の公立病院である。主に町内・美馬市の利用者が多い。

これをうけて「救急医療 美馬」で検索し、この地域の救急医療について調べることにし、美馬市のウェブサイト内の救急医療に関するページに辿り着きました。そして、そのページにある「今月の救急(小児救急)医療当番医」を見てみると2022年1月分の救急(小児救急)医療当番の日別一覧を見ることできました(こちらは月毎に内容が更新されると思います)。

毎日「救急医療当番医」「小児医療救急当番医」それぞれに1つの医療施設が割り当てられるようになっており、それを25の医療施設でカバーしていました。上図を横にし、半田病院の担当箇所のみを緑色にしたものが下図です。

掲載されていた範囲は01月01日から02月02日の33日分でコマ数にすると66コマになります。そのうち半田病院が担当していたのは22コマで3分の1を担っていました。そして、これは1月分のみしか見ていないので毎月のこととは言い切れませんが、土日の対応が目立ちました。土日のコマ数は、22コマでそのうち半田病院は、14コマと6割以上が半田病院が割り当てられておりました。また、「救急医療当番医」「小児医療救急当番医」共に半田病院が割り当てられている日は、33日中、3日間ありました。「小児医療救急当番医」に関しては半田病院と徳島県立三好病院のみで担当しています。これらを見てみて更に半田病院の担う役割の大きさが感じられました。

ランサムウェア事案では、半田病院がランサムウェア感染が発覚した2021年10月31日から救急患者の受け入れを停止していました(11月19日からは夜間・休日診療および、産科部門で新規妊産婦や救急患者の受け入れを再開)。徳島新聞によると半田病院が担当する予定だった11月上旬の土、日曜の4日間は、三好病院が受け入れたとのことです。

 

■さいごに

重要インフラ事業者のサイバーセキュリティ対策において経営陣の責任を明確化について検討するといったことに関する記事に掲載されていた事例をきっかけに医療施設について興味が湧き、調べました。医療施設に関する用語や区分。そして、その施設が担う役割。専門外ですので当たり前かもしれませんが知らないことだらけでした。前述したとおり、これまで、医療施設がサイバー攻撃の被害に遭ってきた事例をいくつか見てきてはいましたが、それによる影響への理解が抽象的であったことがより明確になりました。今回調べて分かったことがもちろん全てではありませんが、医療施設がサイバー攻撃の被害に遭うということへの視野が以前よりもちょっぴり広げることができたように思います。

 


 

■更新履歴

・2022年01月29日 初版公開