投稿「デジタル庁に物申す~先になぜ日本の医療全システムを守らないのか」


デジタル庁に物申す~先になぜ日本の医療全システムを守らないのか

理事 八巻 孝之

 コロナ禍で医療業界を狙ったサイバー攻撃が急増している。私の知る限り、2022年度は、国立病院、県医師会、医療法人、総合医療センターのみならず、医療機器商社や医療機関向けサービス企業などにおいてもランサムウェアや乗っ取りによる被害が多数報告されている。その原因はどこにあるのか、被害事例に注目した。

 医療業界でもデジタル化が進むにつれ、サイバー攻撃の被害も急増している。例えば、ある市立病院では、犯罪グループ“LockBit2.0”によるランサムウェア攻撃を受けた結果、電子カルテや会計などの全システム遮断、約8万人分の患者データ損失が生じてしまった。国立高度医療専門医療研究センターでは、サイバー攻撃やネット詐欺に対する知識不足や職員教育不足による個人情報流出、第三者による研究参加被験者5000名の情報閲覧が起きてしまった。病床300床のリハビリテーション病院では、海外製VPNの脆弱性を攻撃対象として電子カルテシステムがランサムウェアに感染し、約5万人分の患者データが暗号化され、バックアップサーバーも復旧不可能に陥ってしまった。約800床の総合医療センターでは、ランサムウェア攻撃による電子カルテシステムのネットワークが機能停止し、外来診療や予定手術が突然中止となってしまった。

 いくつかの被害事例から分かるように、病院が狙われるには理由があるようだ。特に、古い医療機器などの脆弱性が攻撃の標的になっている。システムの設計・保守・運用において、サイバー攻撃を想定していないケースがあまりにも多い。医療機器のネットワーク化が急速に進む一方、外部脅威対策が不十分な点が大きい。さらに、医療情報連携システムの利用促進や働き方の多様化に伴い、リスクポイントが急増している。具体的に見直すべきポイントは、受付や会計、待合室、病棟におけるUSBメモリ・モバイル端末などの私的機器によるアクセス、外来・入院診療や検査室・手術室におけるPC端末・ネットワークされた医療機器の脆弱性、院内サーバーの脆弱性、フィッシングメールなど、様々に存在する。

 このような状況の中、厚生労働省でも医療業界に向けたセキュリティガイドラインを順次改訂している。しかし、パソコン・ネットワーク・モバイル端末などの各ポイントのリスクセキュリティ対応は様々に異なるため、十分な啓発・啓蒙にはなっていないように思う。そして、定められた脆弱なルール運用が行われ、医療業界だけでなく自治体などの地方公共団体の情報漏洩事故も後を絶たない。サイバー攻撃は100%防ぎきれないとしても、被害事例に見られる大規模化した原因は二つあるように見受けられる。平素からルールに基づいて情報管理できていなかったことと、初回攻撃においてその算段と初期対応を見誤った点である。現在、国が定めた情報セキュリティガイドラインに沿えば、ここまでの大規模な被害拡大は防止できるようだ。しかし、われわれの医療業界では、侵入防止から検知・対応までのエンドポイントセキュリティをはじめ、あらゆるポイントのデバイスをワンストップで管理するネットワークセキュリティ、AI搭載エンジンで未知の脅威や侵入行為による兆候を検知する端末セキュリティなど、見直すべき課題が山積みである。ガイドラインには、対策強化の際にどういった観点で監査や点検を行えばよいかが示してあるけれども、常に情報セキュリティのPDCAサイクル化を目指す以上に、ネットワークの分離化が最重要なのであろう。一定の権力を持つ個人や組織によって個人の行動が常に監視される社会の到来は、明るい未来、それとも危険な未来へと繋がっていくのであろうか。

 デジタル庁に物申す。なぜ日本の医療システム全体を守らないのか。世界デジタル競争ランキング2020において、デジタル化が遅れている日本の評価が低い。その原因として、優れたIT人材不足、多様な変化に対する組織対応力の低さ、ビックデータ活用の未経験さなどが指摘されている。世界との差が縮まらない状況において、未熟さが際立った接触確認アプリ“COCOA”を筆頭に、行政のデジタル化と基盤としてのマイナンバー制度は、行政の効率化・利便性を高め公平公正な社会を目指す施策というが、あまりにもリスクが大きく危うい。
 行政機関によるマイナンバーの利用は、個人情報をみだりに開示されない権利やプライバシーの侵害に当たらないと解釈されている。そして、マイナンバー制度の利用には厳格な規制があり、漏洩を防ぐために悪質なケースは刑罰の対象とされている。ならば、漏洩や目的外利用の危険性は極めて低いのであろうか。秘匿性の高い個人情報でも収集や保存、利用が出来ると解釈できる現況において、漏洩や不当な活用の最大リスクは全医療機関にも潜んでいる。それが現実となった場合の損失の大きさを考えれば、もっと踏み込んだ検討が必要ではないか。
 行政の効率化を目的として、マイナンバーの利用範囲を拡大するのは絶対に許されない。そして、多くの国民が安心して納得できるマイナンバー制度とするためには、漏洩した際の事後救済の整備も喫緊の課題である。毎年3月には、リスクが低いことを“想定外だ”と履き違えさせないために、東日本大震災の命日が訪れる。

This entry was posted in 活動. Bookmark the permalink.

Comments are closed.