日本医師会総合政策研究機構(日医総研)が、医療情報のサイバーセキュリティマネジメントに関する研究報告書を公開した。海外での取り組み事例、実際のハッキング案件などを紹介しながら、国内の関係各所の現状認識、取り組みを厳しい視点で批評。「医療ITのセキュリティ対策は待ったなし」と危機感を提示したものとなっている。
「インターネットに繋いでいなければ安心という誤った認識」
今回の研究報告をまとめたのは、救急医療の第一人者のひとりである日医総研の秋冨慎司客員研究員、ヘルスケアクラウド研究会理事で海外のサイバーセキュリティの取り組みに詳しい笹原英司氏、情報通信研究機構(NICT)ナショナルサイバートレーニングセンター長の園田道夫氏、産業技術総合研究所 健康医工学研究部門 副研究部門長の鎮西清行氏ら。現在国内においてはオリンピック・パラリンピックに向けて大規模イベントにおけるサイバーセキュリティの取り組みが進んでいるものの、イベントをサポートするインフラのひとつである病院のサイバーセキュリティに関しては、議論が始まったばかりで準備不足であると指摘し、実際のインシデントの情報を収集・紹介しつつ、分析と対策の提示を行なっている。
報告書では、日本の現状として「サイバーセキュリティ対策の基本である『現状把握』が医療現場においては十分に実施されておらず、攻撃側からすると非常に攻撃しやすい状況」であると分析。病院のシステム全体の把握ができていないばかりか、医療機器に関するサイバーセキュリティは医療機器メーカーが対応するもの、さらに電子カルテをはじめとしたシステムを「インターネットにつないでなければ安心」という誤った認識が根強いとも指摘した。実際には医療機器のIoT化により、さまざまなデバイスや機会で攻撃されるリスクは広範囲、かつ深化しているとした。
政府の現状の取り組みに対しては、まず現在進行しているいわゆる「3省4ガイドライン」から「3省2ガイドライン」への統合の動きに一定の評価を与えつつも、「今後は、内容に対し長文ではなく箇条書きにしたり、何をすべきか明確にする」「サイバー攻撃時の対応について、具体的な例や相談などできる環境は乏しい」と今後の改定内容について改善を求めた。政策全般については、IMDRF(国際医療機器規制当局フォーラム:International Medical Device Regulators Forum)でのガイダンスを3年後に国内導入するため「医療ITのセキュリティー対策は待ったなし」とし、政府機関でも、海外政府と同様迅速にその対応が可能となる新たなセクターの創設が急務だとしている。