先日、世界中に影響を及ぼしたシステム障害が発生しました。
航空関連のシステム障害が大きく報道されましたが、業種を問わず広く影響を及ぼしました。
医療への影響(米報道)
『少なくとも12の主要な病院、医療システムが世界的なIT障害の影響を受けている』という見出しを付けているのは米国の記事です。
原文では『At least 12 major hospitals, health systems affected by global IT outage』となっています。
冒頭の文章は『一部の病院は、緊急手術以外の手術をキャンセルした』としています。
原文では『Some hospitals opted to cancel elective and non-emergency surgeries.』です。
『重大なデジタルインシデント』(a major digital incident)と表現されるとおり、医療業務を脅かす重大事象となりました。
Mass General Brigham canceled all elective and non-emergency surgeries on Friday and issued an urgent message to employees about “a major digital incident … affecting all Mass General Brigham hospitals and sites.”
ABC News: At least 12 major hospitals, health systems affected by global IT outage
今回のシステム障害が医療に及ぼした影響として、停電は直接的でした。
米国では大病院が停電の影響を受け、院内で行われていた診療の継続には対応できたものの、不要不急の手術はキャンセルせざるを得ない状況になりました。
停電だけではなく、システムがダウンしてしまい、予約管理などが参照できないために外来診療を中止した病院もありました。
週末は業務を縮小して様子を見て、影響を受けていない病院への紹介などで対応しているという病院もありました。
ABC News: At least 12 major hospitals, health systems affected by global IT outage (2024/07/20)
NBC NEWS: Surgeries and doctor’s appointments canceled amid global IT outage (2024/07/20)
Tech outage affects hospitals globally (2024/7/20)
UNC & Duke Health impacted by global IT outage (2024/7/20)
医療機器と医療システムは別
日本において『医療機器』とは、薬機法(旧薬事法)で定義されたものに限ります。
(定義)第二条
4 この法律で「医療機器」とは、人若しくは動物の疾病の診断、治療若しくは予防に使用されること、又は人若しくは動物の身体の構造若しくは機能に影響を及ぼすことが目的とされている機械器具等(再生医療等製品を除く。)であつて、政令で定めるものをいう。
医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律
薬機法で『医療機器』の言葉の定義があるほか、省令や通知などで細かく定義されています。
情報を記録するだけの電子カルテは医療機器ではありませんが、CTの装置自体は医療機器、そこから出されるデータを管理するシステムにも医療機器として定義されているものがあります。
医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律
医療機器は簡単にアップデートしない
医療機器として販売されるものは承認か認証を受けたものに限ります。
承認/認証を受けた時点の状態が販売承認品/認証品であり、その内容を勝手に変えることはできません。
承認時点よりも高精度になった、安全性が高まったという理由で勝手にアップデートされたバージョンを販売すれば、未承認品の販売と同じになります。
一部変更する旨を届け出て、規制当局の了解を得る必要があります。
機能が変更される場合に届出が必要になりますが、例えば機器のスイッチにカバーを付けて誤操作を防止するといった場合であっても、診療上の効果効能に変化はありませんが、変更する旨を届け出る必要があります。
医療機器、特にシステムには不具合が付き物と言っても過言ではないと思います。それは、医療機器でも同様です。
医療機器の不具合が発見された場合、メーカー(医療機器製造販売業者)は回収や改修を実施します。
この回収や改修も、黙って勝手に実施するのではなく、規制当局に届け出ます。
その届出内容は公表され、全国民が知ることができます。
厚生労働省:医療機器プログラムの取扱いに関するQ&Aについて, 2014年11月25日
厚生労働省:医療機器プログラムの取扱いに関するQ&Aについて(その2), 2015年9月30日
医療機器への影響は?
日本の医療機器は、簡単にアップデートできない仕組みなので、即時影響というケースは少なかったかもしれません。
今回はWindows向けのセキュリティシステムのアップデートが原因ということですが、そのシステムを採用していてもアップデートの即時反映がなされなければ直接の影響はないものと思われます。
ただし、何らかの連携システムがダウンしてしまい、間接的に影響を受ける可能性は否定できません。
生命維持管理装置など物理的に現物が存在する医療機器では、システムに依存しないメカ的な機構が動作するものと考えられ、インターネット上の参照先が使えなければ機能を制限して動作するようになると考えられます。
もし、心電図の波形の辞書がインターネット上にあり、その辞書がダウンしていたとしても、心電図を取得し、表示するという機能はシステムダウンとは別次元で動作し続けると考えられます。このとき、平時に有効である異常波形アラームは機能していない可能性があります。
Windows搭載医療機器
Windowsを搭載した医療機器が無いというまことしやかなデマが流れているようですが、実際には存在しています。
筆者が実際に操作したことがある医療機器でも、起動時にWindowsのロゴを見る装置はありました。
WIRED:古いWindowsのサポート終了で、医療用画像診断装置の8割超が「危険な状態」にある
スタンドアロン
現在のところ医療機器の多くがスタンドアロン(Stand-Alone)型、インターネットに接続していないか、インターネット接続部分と機器の動作部分のコンピュータ(マイコン)が独立している場合が多いです。
例えば心臓ペースメーカーは、それ自体がインターネットに接続されている訳ではなく、コミュニケータと呼ばれるデバイスを経由してインターネットに接続しています。
コミュニケータとサーバの間でシステム障害が発生しても、心臓ペースメーカーの動作には影響がありません。
Medtronic: 遠隔モニタリングシステムって何ですか?
キヤノン:ペースメーカー情報を自宅から病院に送信する遠隔機器がクラッキングされる恐れ
インターネット上の情報からは『影響なし』(?)
今回のシステム障害について、医療機器や医療機関へ影響したという報道発表はありません。
小林製薬の自主回収の情報が報道発表されるくらいなので、世界的なシステム障害について本邦の医療に関係すれば報道があるものと思われます。
厚生労働省:新着情報
厚生労働省:小林製薬株式会社からの報告に係る不備について
今回の障害はCrowdStrike社のセキュリティシステム(Falcon Sensor)のアップデートに起因するものと報道されており、当日(7月19日)に同社からも声明が出されています。
Valued Customers and Partners,
I want to sincerely apologize directly to all of you for the outage. All of CrowdStrike understands the gravity and impact of the situation. We quickly identified the issue and deployed a fix, allowing us to focus diligently on restoring customer systems as our highest priority.
The outage was caused by a defect found in a Falcon content update for Windows hosts. Mac and Linux hosts are not impacted. This was not a cyberattack.
We are working closely with impacted customers and partners to ensure that all systems are restored, so you can deliver the services your customers rely on.
CrowdStrike is operating normally, and this issue does not affect our Falcon platform systems. There is no impact to any protection if the Falcon sensor is installed. Falcon Complete and Falcon OverWatch services are not disrupted.
We will provide continuous updates through our Support Portal.
We have mobilized all of CrowdStrike to help you and your teams. If you have questions or need additional support, please reach out to your CrowdStrike representative or Technical Support.
We know that adversaries and bad actors will try to exploit events like this. I encourage everyone to remain vigilant and ensure that you’re engaging with official CrowdStrike representatives. Our blog and technical support will continue to be the official channels for the latest updates.
Nothing is more important to me than the trust and confidence that our customers and partners have put into CrowdStrike. As we resolve this incident, you have my commitment to provide full transparency on how this occurred and steps we’re taking to prevent anything like this from happening again.
George Kurtz
Statement from Our CEO (2024/7/19 19:30 UTC)
CrowdStrike Founder and CEO
後日、日本語でも案内が出ています。
大切なお客様とパートナーの皆様
7月19日発生の障害につきまして、皆様に直接心よりお詫び申し上げます。クラウドストライクの全員が、状況の重大さと影響を理解しています。問題を迅速に特定し、修正を展開したため、お客様のシステムの復旧を最優先事項として真摯に取り組んでおります。
この障害は、Windows ホストの Falcon コンテンツ更新で見つかった欠陥が原因でした。Mac ホストと Linux ホストは影響を受けません。これはセキュリティ攻撃やサイバー攻撃ではありませんでした。
クラウドストライクは、影響を受けたお客様やパートナーと緊密に連携して、すべてのシステムが復旧し、お客様が信頼するサービスを提供できるように取り組んでいます。
クラウドストライクは正常に動作しており、この問題はFalconプラットフォームシステムには影響しません。Falconセンサーが取り付けられている場合、保護に影響はありません。Falcon CompleteおよびFalcon OverWatchのサービスが中断されることはありません。
7月19日発生の障害に関して
医療機関(病院)への影響は?
医療機器は先述のとおり影響が少ないかもしれませんが、医療機関全体で見ると危険が潜在/顕在しています。
予約や会計などのシステムは医療機器ではないため、アップデートは自由です。オンプレミスのシステムがまだまだ多いですが、予約システムではクラウド型も増えています。
このようなシステムが、今回のような障害の影響を受ける可能性があります。それだけで外来は大混乱になると思います。
病院の場合、電子カルテはオンプレミス型が多いですが、クリニックではクラウド型も多く利用されています。
オンプレミスであれば外部からの攻撃が少ないため、頻繁なアップデートは必要ないかもしれませんが、クラウド型はアップデートが必要かもしれません。
エレベーターが動かなくなると、病棟から手術室や放射線科への移動が困難になり診療に多大なる影響が出ると思います。
勤怠管理システムが停止すれば、出勤者/退勤者の記録ができない、次月の勤務表が作れないなどの支障が出ますが、ただちに診療に影響は出ないと思います。
通勤に使用しているバスや電車が運休となれば、これは影響が出る可能性があります。信号まで真っ黒になれば、スタッフが出勤できない、診療材料やリネン類のように日々配達される物資の到着にも影響すると考えられます。
今回のシステム障害では影響が無かったようですが、今後の障害に備えて置くひつようがあります。
社会インフラと医療
航空業界は数日後でも影響が残りましたが、世界中で数百万人もの人が飛行機に乗れず、関係する人を合わせれば数千万人規模の影響があったと見られます。
航空機や新幹線という規模の輸送手段がただちに医療に影響することは少ないですが、これが在来線や路線バスとなると様子が変わってきます。
電話やインターネットが使えなくなるということも、医療に影響があります。
上述の内容であれば、診療自体が停滞するというよりは、患者や職員が来院できない、連絡がつかないといった運営上のトラブルに留まると考えられます。
今回のシステム障害でも発生しましたが、停電となると話は別です。ただちに診療の妨げになります。
断水や医療ガスの配送停止なども、少し遅れて影響が出ると考えられます。
自家発電装置や貯水槽などはシステムと連動せずとも動作できると思いますが、もしコンピュータ制御以外の方法がない場合、いまのうちに切り離しておくと良いと思います。
手術ができない?
答えは『No』だと思います。
平時と同じという訳にはいかないので、リスクとベネフィットの評価を行うと思います。
緊急性がない手術を無理やり実施して、術中にバイタルサインモニタが停止してしまい、それで何らかの障害が残ると考えれば、そこまでして実施すべきか考える必要があります。
交通外傷で出血が著しい患者を放置する訳にはいかないので、止血するための手術を行うと思います。骨折の治療は後日ということになるかもしれませんが、止血だけは急ぐかなと思います。
そもそも、システム障害が手術室に及ぼす影響がどれだけあるのか考えてみます。
手術台や無影灯は通信を使う必要がないのでシステム障害の影響はないと思います。
麻酔システムやバイタルサインモニタは、サーバとつないで記録する可能性がありますが、その通信を切ったとしても単体で動くと思います。
麻酔科管理下にあるシリンジポンプや人工呼吸器、外科医が使う電気メスなどは単体で動作するため、問題なく使用できると思います。
電子カルテやPACSはシステム障害の影響を直接受けるかもしれません。前日の患者説明、朝のカンファレンスでのプレゼンなどを通じて、ある程度は患者のことをよくわかっているかもしれません。目の前に患者が居るので、手術の目的がわかっていて、かつ、危険が迫っている緊急性のある手術であれば、平時であれば参照する画像が無くても手術が行われる可能性があります。
PACSが使えないからと言って、医療画像がすべて見られない訳ではないかもしれません。ネットワーク上では見られないかもしれませんが、データベースを直接見に行けば対象患者の分だけ取り出すことができるかもしれません。
電子保存の三原則
『電子カルテの三原則』とも呼ばれる三原則は、以下のとおりです。
- 真正性
- 見読性
- 保存性
真正性とは、故意や過失に関わらず虚偽、書換、消去、混同などが起こらないようにすることです。誤入力して書き換えたとしても、その履歴が残るようにします。患者を取り違えて記録されてしまうようなことも回避する措置が必要です。
見読性とは、電子データを肉眼で見読可能な状態にできることです。電子カルテではデータ入力だけでなく閲覧して活かすことも目的なので、ある程度の情報は見読できる状態が普通です。ログなどは一般ユーザーからは見えませんが、真正性が疑われる場合の監査では目視確認できる必要があります。
保存性は、データが見読可能な状態で一定期間、安全に保存されていることです。この元データ(生データ)を書き換えられないようにする措置が必要ですし、仮に書き換えられたとしても復元できるようにすることで真正性と保存性を両立します。暗号化して保存して真正性を保つことがありますが、見読可能である必要があるため、別途、復号キーを持つビューアを用意するなどの措置が必要です。
今回のようなシステム障害では、Windowsを起動してもブルースクリーンが出てしまったようなので、ハードディスクから直接データを引出すという方法が必要になるかもしれません。
その際、暗号化されたデータであっても復号できる必要があります。
データさえ取り出せれば、特定患者の、患部のX線画像を見る事ができるかもしれません。
厚生労働省:医療情報システムを安全に管理するために(平成21年3月)
影響の甚大化
システム障害はこれまで、マルウェアやランサムウェアの脅威が取りざたされることが多く、特定の1施設だけが狙われる、あるいは一部の脆弱性だけが影響を受けるといったものが主流でした。
しかしながら、今回のようにWindowsという普及したOSで、業界では高評価のセキュリティシステムを起因として障害が発生すると、世界中で同時に影響が出るという事態になりました。
特に今回は、航空業界で共通して採用されていた様子であり、航空機を飛ばせないという会社がいくつも現れました。一社だけのことであれば他社便を利用して移動できたかもしれませんが、複数社に及んだことが混乱を大きくしたと考えられます。
運輸業界で荷物がコード化されて久しいですが、現在のところコードは自社独自、日本郵便やヤマト運輸、佐川急便などはそれぞれに独立したシステムで運用しています。
今後のドライバー不足やエコロジーを考えると、コードシェアの可能性があり、もしかすると水面下では共通化が進められているかもしれません。
そこにあるリスクは、システム障害により日本の物流が停止する可能性です。
今年は上半期だけでも、大企業でいくつかのシステム障害が発生しています。中でもグリコのシステム障害は看板商品である『プッチンプリン』の長期出荷停止や、他社に卸している商品まで出荷停止となる大打撃であり、市民にも影響があったと言えます。
自社システムの不具合は自社限り、あるいは卸先などある程度の限られた範囲で止まるため、例えば『プッチンプリン』が出荷されずとも、他社のプリンは流通しているので、プリンが全く食べられない訳ではありません。
来年、1つのリスクが誕生しそうですが、その影響が限定的になりそうなニュースがあります。
自治体のシステムが標準化される予定なのですが、進捗が悪いために乗り遅れる自治体が現れそうです。
見方を変えると、このシステムに障害が発生しても、影響が及ばない自治体がある程度は存在することになります。
docomo business:マルウェアとは?ウイルスとの違いは?
自社・自院のリスクマネジメント
リスクマネジメントで考えると、システム障害のリスクは多種多様です。
システムを使っている以上は、そのシステム自体、あるいは周辺システムやハードウェア、電源等のインフラの不具合も危害要因になり得ます。
業務にフォーカスすれば、どのシステム障害が、どの業務に及ぶのかを考える必要があります。
ビデオ会議システムがTeamsのみ、オフィスソフトがOffice365(Microsoft 365)のみであったとします。今回のようにセキュリティソフトに何らかの不具合があり、自社のMicrosoft Office系ソフトがすべて使えなくなった場合、業務にどのような支障が出るでしょうか。
- Word
- Excel
- PowerPoint
- Outlook
- OneDrive
- Microsoft Defender
上記のソフトの内、自身の業務に欠かせないもの、代替性のあるものを想像してみてください。
システム障害はWindowsに起こるとは限らず、特定のソフトウェアだけの場合もありますし、iPhoneやAndroidなどのスマホにだけ発生する可能性もあります。
クレジットカードやPayPayなどの決済システムが使えなければ会計ができない可能性もあります。病院では、CTやMRIを撮った日は3割負担でも数万円になる場合がありますし、入院費の支払いになると10万円を超えることもあるので、財布の中の現金では支払えない人も出て来るかもしれません。
支払わなければ帰らせないという訳にもいかないので、請求や取り立てができるように手段を講じる必要があります。
顧客の要望が他社サービスでも満たされる場合、顧客のために他社サービスを紹介できるでしょうか。鉄道では振替輸送と呼ばれる『お互い様』のような運用があります。
Microsoft: Microsoft 365 Online
BCPサービス
弊社はBCPコンサルティングサービスを主力事業としているため、今回のようなシステム障害に際しても脅威分析やリカバリ策について検討してしまいます。
医療機関における脅威については先述の内容以外にも、多くの脅威があり、中には解消可能な方法も見つかっています。
企業においても、業種別や取引方法別に様々な脅威があることがわかりました。
思い起こしてみればCOVID-19の流行拡大も似ている部分があります。自社の社員が感染するかどうかに関わらず、緊急事態宣言などにより社会が動かされたことで、個人レベルの感染症ではなくなりました。
システム障害も対岸の火事ではなく、どこかでつながる話になりかねません。
今後、システムの利便性に慣れた世代、アナログ時代を知らない世代が多くなる社内・院内において、アナログ対応力を高めることも重要になります。
弊社が推す goal-oriented action、目標志向で行動する上でのアナログについて、図上演習メニューを追加して参ります。