みんなで備える 医療のIT-BCP

実際にサイバー攻撃を受けた医療機関の事例をもとに、病院経営層、医療情報部門、医療スタッフなど、多職種による対応策を多角的に解説する。IT-BCP構築の基本から、院内教育、訓練方法まで、すぐに実践できる知識とノウハウを惜しみなく提供。現場担当者とセキュリティ専門家によるQ&Aや、すぐに使えるツール（ダウンロード可）も収録し、「何から始めるべきか」がわかる、医療現場のための実践書である。

【目 次】
第1部　事例で学ぶ 医療機関のサイバー攻撃の現実
　第1章　事例紹介：サイバー攻撃と患者を守るための戦い
　　1．病院管理のためのPDCAサイクル確保
　　2．タイムラインと概説
　　3．発災当日の初動対応：医療継続のために
　　4．診療現場におけるシステム障害中の「紙」対応
　　　1）病棟管理
　　　2）外来管理
　　　3）救急部門管理
　　　4）侵襲手技管理（手術／内視鏡検査／外来化学療法）
　　　5）手術室管理
　　　6）薬局管理
　　　7）放射線管理
　　　8）検査部門管理
　　　9）リハビリテーション管理
　　　10）医療機器管理
　　　11）栄養部門管理
　　　12）地域連携管理
　　　13）医事業務管理
　　　
　第2章　事例解説：得られた教訓と改善点
　　1．医療継続の視点：①災害対応と組織管理
　　2．医療継続の視点：②看護組織管理とその対応
　　3．医療継続の視点：③医療安全管理の実際
　　4．医療継続の視点：④内外コミュニケーション
　　5．医療継続の視点：⑤参照環境と紙運用・保管管理
　　6．システムセキュリティの視点：この病院はなぜ狙われたのか？ 障害発生から復旧まで
　　7．経営の視点：サイバー攻撃により直面する病院経営危機
　　　
第2部　医療機関のサイバーセキュリティとIT-BCP
　第1章　病院管理者が知るべきサイバーセキュリティの基本
　　1．サイバー攻撃の種類と医療機関への影響
　　　　ランサムウェア攻撃とは
　　　　フィッシング攻撃とは
　　　　DDoS攻撃とは
　　　　データ漏洩について
　　2．医療機関特有のリスク（脆弱性）
　　　　ネットワーク接続医療機器
　　　　電子カルテシステム
　　　　クラウド環境の課題
　　3．サイバー攻撃の兆候と未然防止策
　　　　サイバー攻撃の兆候
　　　　サイバー攻撃の未然防止策
　　4．サイバーセキュリティ文化を病院で定着させるためには
　　　　情報セキュリティ研修の位置づけ
　　　　職員の意識醸成
　　　　セキュリティパッチ
　　5．Q&A：病院のセキュリティ対策、どこから始める？
　　　　Q1．「うちは小さい病院だから大丈夫」って本当？
　　　　Q2．ネットワーク接続医療機器が危ないってどういうこと？
　　　　Q3．どんなセキュリティ対策を導入すればいい？
　　　　Q4．パスワードの運用はどうすればいい？
　　　　Q5．リモートデスクトップって便利なの？ 危険なの？
　　　　Q6．管理者権限の運用はどうしてダメなの？
　　　
　第2章　サイバー攻撃発生時の緊急対応マニュアル
　　1．サイバー攻撃発生時の緊急対応マニュアル
　　2．緊急対応マニュアル：①医療継続
　　3．緊急対応マニュアル：②情報システム
　　4．緊急対応マニュアル：③事務管理
　　5．IT-BCPの考え方と策定手順
　　6．シミュレーション訓練の実施方法：①医療継続
　　7．シミュレーション訓練の実施方法：②情報システム
　　8．Q&A：サイバー攻撃を受けたら、どう動けばいい？
　　　Q1．サイバー攻撃の被害を受けたとき、最初にやるべきことは？
　　　Q2．IT担当者がいない場合、サイバー攻撃発生時にどう対応する？
　　　Q3．「データを暗号化した、解除するなら身代金を払え」と言われたらどうする？
　　　Q4．サイバー攻撃を受けたらどこに報告すればいい？
　　　Q5．サイバー攻撃にかぎらずシステム停止はときどき発生するが、IT-BCPをいつ発動すると判断するか？
　　　Q6．システムベンダーに落ち度があった場合でも、患者への補償や調査復旧費用などは病院負担となる？
　　　
　第3章　外部専門家からみた国内の現状と課題
　　1．外部専門家として病院の支援を経験して
　　　①国内ランサムウェア攻撃の状況と手口
　　　②ランサムウェア攻撃者の戦略
　　　③ランサムウェア攻撃でのFault Tree分析
　　　④攻撃に使用されたテクニック
　　　⑤医療情報システム特有の課題とその原因
　　2．どの施設もやっておきたい「これだけは」
　　　①オフラインバックアップの確保
　　　②認証と院内データの真正性
　　　③VPN装置の脆弱性管理と緩和策の適用
　　　④管理者パスワードの使い回しの禁止
　　3．Q&A：IT部門がない病院でもできる対策は？
　　　Q1．IT担当者がいなくても、セキュリティ対策はできる？
　　　Q2．外部のセキュリティ業者に頼むと、費用はどれくらい？
　　　Q3．クラウド型サービスを使えば安全なの？
　　　Q4．とりあえず、ベンダーに依頼すべきことは？
　　　
・はじめに
・監修・執筆者⼀覧
・資料ダウンロード方法
・資料紹介：実践ツール（ダウンロード）
　1. これだけはやっておきたいチェックリスト
　　　①サイバーセキュリティ体制構築チェックリスト
　　　②経営者向けシステムリスク管理体制の確認・検査用チェックリスト
　　　③VPN接続事業者向けチェックリスト
　　　④調達・受け入れチェックリスト
　　　
　2. 厚生労働省ガイドライン 重要チェックリスト
・略語⼀覧