病院では、業務の効率を優先するあまり、PCやVPN等のネットワーク機器、電子カルテ等のシステムでも、簡単で覚えやすいパスワードが使用される傾向があります。例えば「1234」や「password」、「qwertyuiop(キーボード配列)」など、推測されやすいものが多く、セキュリティの基本が十分に守られていないケースが見受けられます。
その背景には、「急いでいるのに複雑なパスワードは使えない」、「安易なパスワードでも大丈夫だろう」といった考え方が根強く存在しており、利便性を重視した結果、安全性が犠牲になってしまっています。
こうしたパスワードは外部からの不正アクセスに対して極めて脆弱です。実際、医療機関がサイバー攻撃の標的となる事例は年々増加しており、患者の個人情報や医療システムの安全が危険に晒されているのが現状です。
とは言え、安易なパスワードは絶対ダメ
安易なパスワードの使用は、一見すると些細なことのように思われますが、その油断が重大なセキュリティリスクにつながる可能性があります。
攻撃者は、よく使われる単語や文字の組み合わせを総当たりで試すことで、短時間で安易なパスワードを突破することができます。一度侵入を許してしまうと、電子カルテが閲覧できない、検査機器が利用できないなど、複数のシステムに連鎖的に影響が広がり、診療業務全体が麻痺してしまうおそれがあります。
こうした影響は、医療の質や安全性を損なうだけでなく、病院の社会的信用にも深刻なダメージを与えます。さらに、個人情報が漏えいした場合には、法令違反として罰則や損害賠償の責任を問われる可能性があります。だからこそ、パスワード管理の見直しは、現場の意識改革とともに、早急に取り組むべき課題なのです。
今時のパスワードの考え方
- 簡単なパスワードを設定しない
「単純な数列」や「単語そのままの文字列」、「氏名や生年月日」、「qwertyuiopなどキーボード配列」のような簡単に推測されるものは使用しないようにしましょう。 - できるだけ長いパスワードを設定する
パスワードは長ければ長いほど、見破られるリスクが低くなります。英大文字・小文字、数字、記号などを組み合わせて、安全で長いパスワードを作成しましょう。
長いパスワードを覚えるのが困難な場合は、複数の単語を組み合わせた「パスフレーズ」の利用も有効です。
例:「HaruGakitaDokoNikita#3」
※SNSや趣味から推測される情報は避け、公開していない言葉を組み合わせましょう。 - 同じパスワードを使い回さない
複数のシステムで同じパスワードを使い回している場合、一つのシステムでパスワードが漏えいすると、他のシステムにも被害が拡大する可能性があるため危険です。必ずシステムごとに異なるパスワードを設定しましょう。
作成後の管理も大事
- パスワードが漏えいしていないかを定期的に確認するよう周知する
パスワードは一度設定しただけでは安全とは限りません。攻撃手法の進化や外部要因など、漏えいする可能性は常に存在しているため、定期的に漏えいしていないかどうかを確認し、漏えいしている場合はすぐに変更するよう、院内に周知しましょう。
参考(漏えいチェックサイト:Have I Been Pwned: Pwned Passwords) - 他人とパスワードを共有しない
パスワードは本人だけが知っているべき情報です。覚えられないからといってパスワードを付箋やメモに書き残したり、他人に共有することは大きなリスクになります。安全な運用のためにパスワードは個人で厳重に管理し、共有や見える場所への記載は避けましょう。
さらに守りを固めよう
- 多要素認証を活用する
どれだけ強いパスワードを設定していても、例えばフィッシング詐欺などによりパスワードが漏えいしてしまうといったリスクは変わらず存在しています。そこで有効なのが、多要素認証です。多要素認証は、パスワードに加えて、ワンタイムパスワードや認証アプリのコード、パスキーなど、別の認証手段を組み合わせることで、セキュリティを大幅に高めることができます。
これにより、万が一パスワードが漏えいしてしまった場合でも、第三者による不正アクセスを防ぎ、組織の情報を守ることができます。
参考
厚生労働省:「医療機関向けセキュリティ教育支援ポータルサイト」
E-Learning 令和6年度コンテンツ
- 初学者等向け研修
- 情報セキュリティの重要性
- システム・セキュリティ管理者向け
- Windows・Networkセキュリティ復習コース
E-Learning 令和7年度コンテンツ
- 初学者等向け研修
- 誰でも実践できるメールセキュリティとパスワード管理 等
- システム・セキュリティ管理者向け
- 岡山県精神科医療センター ランサムウェア事案調査報告書 読み解き 等
