厚生労働省は「医療機関等におけるサイバーセキュリティ対策の強化について」を発出し、医療機関等がコンピュータウイルスなどのサイバー攻撃を受け、個人情報漏えいや医療提供の弊害の恐れがある場合には、速やかに厚労省医政局研究開発振興課医療技術情報推進室に連絡するよう注意を呼びかけました。
その中で、自治体(都道府県、保健所設置市、特別区)に対し、以下の4点について実施を求めています。
(1)「医療情報システムの安全管理に関するガイドライン」の周知徹底
(2)情報セキュリティインシデント発生時の国への報告
(3)情報セキュリティインシデントが発生した医療機関等に対する調査・指導
(4)医療分野におけるサイバーセキュリティの取り組み(医療セプター)との連携
(2)(3)(4)については該当の機関に報告・連絡・相談を直接行えばよいので、現実的に可能と理解できますが、実は最初の(1)が最も難しいのではないかと筆者は思います。
医療機関というのは医療法で定められた医療提供施設のことであれば、対象は病院、診療所、介護老人保健施設、調剤を行う薬局ということになります。
中には情報システム管理者のいない医療機関も少なくないでしょう。
ところが、(1)のガイドラインを見てみると「医療機関等の責任者、情報システム管理者、またシステム導入業者が、それぞれ関連する個所を理解した上で、個々の対策を実施することを期待する」と記載されており、ざっと160ページ以上、そして「ASP・SaaS、スループット」などのコンピュータ系の用語が並んでいます。
正直に申しまして、これを情報システム管理者のいない医療機関に「徹底周知」というのは現実的とは思えません。
少しだけ話しが飛びますが、2017年7月にトレンドマイクロがリサーチした結果では、「インターネットに露出する国内医療機関のIPアドレスは10万件以上」とあり、医療機関は現在多くのリスクを抱えた「差し迫った状況」と言えるのではないでしょうか。
参考:https://blog.trendmicro.co.jp/archives/15520
今、医療機関は本気でサイバー攻撃への対策を考えなければならない時期であり、厚労省が注意を呼びかけるということについては意味があると思いますが、肝心の「インシデントを起こさないための対策」があまりにも現場とかけ離れているかと思います。
なので、情報システム管理者のいない医療機関の責任者の方は、早めに専門会社へ相談されることをお勧め致します。
詳しくはこちら
医療機関等がサイバー攻撃を受けた場合、厚労省医療技術情報推進室へ連絡を―厚労省 | メディ・ウォッチ | データが拓く新時代医療