登販も知っておきたい「医療機関におけるサイバー攻撃」とは。最新事例や対策を解説

こんにちは、登録販売者転職のアポプラス登販ナビライターチームです。

昨今、医療機関を狙ったサイバー攻撃が相次いでいます。サイバー攻撃にはさまざまな種類や目的のものがあり、ターゲットは大手の病院だけにとどまらず、登録販売者の主な就職先であるドラッグストアなども狙われる可能性があります。

そこで本記事では、サイバー攻撃による被害の実例を交えて、登録販売者が知っておきたいサイバー攻撃の実態と基本的な対策について解説します。

目次

• ・ドラッグストアにも！近年増加しているサイバー攻撃とは
• ・サイバー攻撃を受けた場合の被害
• ・【登録販売者向け】サイバー攻撃を防ぐために注意すべきこと
• ・まとめ｜情報セキュリティ対策を正しくおこない、会社や店舗を守ろう

ドラッグストアにも！近年増加しているサイバー攻撃とは

サイバー攻撃とは、インターネットを通じて個人情報や金銭を盗んだり、システムを停止させたりする行為をいいます。

IT技術の進歩により、サーバー攻撃に対するセキュリティ対策も発達してはいますが、攻撃者の手口がそれ以上に巧妙になっており、世界中で被害があとを絶たない状況となっています。

サイバー攻撃にはさまざまな手口があり、代表的なものにはデータやファイルを暗号化する「ランサムウェア」、特定の個人や組織を狙う「標的型攻撃」などがあげられます。

最新の事例

では次に、サイバー攻撃の実例を見ていきましょう。今回は、登録販売者に馴染みの深い薬局やドラッグストアの例をご紹介します。

ドラッグストアチェーンが運営する通販サイトにリスト型攻撃

2022年７月、ドラッグストアチェーンが運営する通販サイトが海外からの不正アクセスを受け、最大１万9,057件のユーザー情報が流出した可能性があると発表しました。

このサイバー攻撃は外部から不正入手したパスワード・IDを利用してログインを試みるリスト型攻撃によっておこなわれたと推測されています。

某薬局チェーンのメールアカウントへ不正アクセス

2022年３月、某薬局チェーンは同社のメールアカウントが不正アクセスを受け、約５万通の迷惑メールが利用者に送信されたことを発表しました。

この迷惑メールによる被害の報告はありませんでしたが、サイバー攻撃を受けた理由として、メールアカウントが長期間使用されていなかったこと、パスワードからアカウントが特定しやすいものだったことだと同社は報告しています。

大手病院が身代金要求型ウイルスに感染

2022年10月、静岡県東部にある大手医療機関がランサムウェアと見られるサイバー攻撃を受け電子カルテのシステムに障害が発生していたことが発覚しました。電子カルテには約2,000人分の診療記録などが保存されていました。

このサイバー攻撃により、数日間電子カルテが利用できなくなり、診療や手術に多大な影響があったということです。ランサムウェアとは、暗号を解く代わりに金銭を要求する手法で、本件では攻撃者に対して金銭を支払いませんでしたが、システムの復旧に多額の費用がかかっています。

サイバー攻撃の目的

サイバー攻撃の目的はさまざまです。例えば、自分の力を見せつけたいという愉快犯、金銭の収奪を目的としたもの、企業の機密情報を盗むための産業スパイなどがあげられます。その対象は、業種や企業規模に関係なくおこなわれます。

昨今、日本ではDX化が推進されています。DX化は多くのクラウドサービスを利用するため、標的となるのはDXが進むすべての企業が対象になる可能性があるといえるでしょう。

サイバー攻撃を受けた場合の被害

サイバー攻撃を受けてしまった場合、営業が一時停止してしまうだけでなく、さまざまな被害が発生します。

業務中断による営業機会損失

WEBサービスなどがサイバー攻撃を受けた場合、システムが正常に利用できなくなるためサービスを一時中断しなければなりません。サービス復旧までの期間、営業機会を失うことになってしまい、会社の損益に大きく影響するでしょう。

もし原因が究明できない場合、一からサービスを作り直す必要があります。

調査や復旧作業のコスト

サイバー攻撃を受けたとき、まず必要となるのが調査や復旧にかかる費用です。実際に、ある企業では、調査・復旧費用に約６億円が必要になったという事例もあります。

サイバー攻撃の調査は非常に専門的なため専門業者に依頼をしなければなりません。原因がわからず調査が伸びればその分費用も増えていきますし、社内インフラを一から作り直すために莫大な費用がかかることはいうまでもありません。サイバー攻撃を受けたときの損害として、この調査・復旧作業がもっとも大きいといわれています。

損害賠償金

損害賠償とは、損失を与えた相手に対して補償することです。サイバー攻撃によって情報漏えいが発生してしまえば取引先や利用者に損害を与えてしまう可能性があります。過去には約１億円の損害賠償金を支払ったという事例もあり、その被害額は企業規模が大きければ大きいほど多くなる傾向にあります。

社会的信頼の損失

サイバー攻撃を受け、個人情報を漏えいさせてしまった場合、企業の社会的信頼は大きく損失してしまいます。また同じようなことが起こるのではないかという不安から、顧客の減少にもつながってしまうでしょう。

さらに、社内管理が不十分であるという点から取引先の信用を失うことにもなり、取引が中止になってしまう可能性も考えられます。

【登録販売者向け】サイバー攻撃を防ぐために注意すべきこと

上記のように、サイバー攻撃による被害は想像以上に大きいものです。このような被害に合わないために、企業はサイバー攻撃に対する対策を講じる必要があります。ここでは企業単位で取り組む対策とは別に、登録販売者個人や、店舗といったチーム単位で気を付けておくべきポイントについて解説します。

不審なメールやファイルは開かない

昨今では、職種や業種にかかわらずほとんどの職場で業務上パソコンやタブレットなどのIT機器の利用は必須となっており、登録販売者も使用の機会があると思います。社内のパソコンでは主に、ファイルを編集したりメールを送受信したりすることが多いですが、そこで注意しておきたいのが、不審なメールやファイルです。昨今のサイバー攻撃は巧妙で、取引先などやりとりのあった人物を装って不審なメールやファイルを送付してきます。何気なくクリックしてしまうと、そこからウイルスに感染し情報漏えいが発生してしまうことになります。もし、不審に感じるメールやファイルがあれば、クリックせずに上長に報告するようにしましょう。

ID・パスワードを使い回さない

登録販売者が働く職場によっては、従業員が変わっても自社のシステムにログインするIDやパスワードを、変更せずそのまま使いまわす場合があります。しかしこれには、いくつかのリスクが潜んでいます。

情報というのはいつどこでどのように漏えいするかわからないものです。例えば、従業員が退社後に社外にID・パスワードを第三者に漏えいしてしまったり、社内情報にアクセスして情報を盗んでしまったりする可能性も否定できません。また、同じID・パスワードを使い回していると、どこか一カ所のシステムでサイバー攻撃を受けたあと、同じ手口で違うシステムも攻撃され、被害が拡大してしまうリスクがあります。

そのため、ID・パスワードは決して同じものを使い回さず、従業員の異動や退社の際には必ず変更することを徹底しましょう。

システムを最新バージョンにアップデートしておく

職場で使用するIT機器やソフトを、最新バージョンにアップデートしておくことも重要な対策の一つです。アップデートは性能の向上や不具合の修正をするもので、アップデートがおこなわれないと、攻撃者側から脆弱性があると判断され、攻撃されやすくなってしまいます。

バックアップを取る

業務でパソコンやタブレット端末を使用することの多い登録販売者。使用の際には、適宜データのバックアップを取っておくことも大切です。万が一サイバー攻撃を受けたとしても、バックアップを取っておくことで復旧までの時間を短縮することができるでしょう。ただし、同時にバックアップを保存する場所のセキュリティ対策も必要です。

従業員の意識向上

上記対策を徹底するために重要なのが従業員の意識向上です。上記対策はいずれも人の手でおこなう作業です。いくらシステムアップデートのアラートが鳴っていたとしても、従業員がそれに気づかず放置していれば、システムはアップデートされずデバイスの脆弱性が高まります。

サイバー攻撃に対する従業員の意識の向上を図るためには、定期的なセキュリティ教育や研修を実施する必要があります。まずはパソコンなどのデバイスを使用する際のルールを定め、周知徹底します。攻撃者は小さな隙を狙って、サイバー攻撃を仕掛けてきます。会社や店舗を安全に営業していくためには、登録販売者一人ひとりの情報セキュリティへの意識向上が必要であるということを社内で共有しておきましょう。

まとめ｜情報セキュリティ対策を正しくおこない、会社や店舗を守ろう

この記事では、医療機関におけるサイバー攻撃について解説しました。

昨今、医療機関に対するサイバー攻撃は増加傾向にあり、登録販売者が働くドラッグストアや薬局も例外ではなくなっています。サイバー攻撃を受けないためには、従業員一人ひとりがセキュリティ対策に取り組む必要があります。今回ご紹介した対策を参考に、登録販売者としてできることから取り組んでいきましょう。