第332号コラム:舟橋 信 理事(株式会社UBIC 取締役)
題:「メディカルITセキュリティフォーラムの発足について」

本年8月9日、医療分野のサイバーセキュリティに関する情報共有及び関係者への情報発信を目的として、愛知医科大学病院医療情報部長の深津博特任教授を代表理事として「メディカルITセキュリティフォーラム」が設立された。本コラムでは、その経緯をご紹介したい。

昨年の「第10回デジタル・フォレンジック・コミュニティ2013 in TOKYO」のテーマは、「サイバー攻撃激化時代のデジタル・フォレンジック」であった。近年のサイバーセキュリティを巡る情勢、特に官庁や防衛産業などを標的としたサイバー攻撃が増大してきたことから、このテーマを選定したものである。サイバーインテリジェンスやサイバーテロ、すなわちサイバー攻撃は、国家の秘密情報や企業の営業秘密などの流出を招き、また、業務の遂行が妨害されるなど、その影響は計り知れない。数年前には、イランの核施設の制御系システムに狙いを定めたと思われるマルウエア「スタックスネット」の出現により、クローズドな環境であっても、サイバー攻撃の被害を受けることが明らかになった。

重要インフラの一つである医療分野においても、電子カルテ等の基幹システムをクローズドにすれば、すなわちインターネットに接続さえしなければ安全であるとの「クローズドネットワークの安全神話」が生きているものと思われる。この分野においても、サイバーセキュリティに係わるリスクを考慮することが喫緊の課題である。加えて、医療機関における現実的な問題として、アプリケーションソフトの関係から既にメンテナンス期間が終了した多くのウィンドウズXPパソコンが稼働しており、サイバー攻撃に対する耐性の低い状況のまま運用されているのが実情である。

最近の報道によれば、米国の医療機関のシステムから、外国の国家機関と思われる侵入者により、450万人分の社会保証番号を含む個人情報が窃取される事案が発生している(注1)。医療機関もサイバー攻撃の対象となっていることを象徴する事案である。

一方で効率的な医療を推進するため、地域医療連携や地域包括ケアなど、地域の中核となる医療機関と診療所などの医療機関及び介護施設等との役割分担と相互の連携が求められており、医療情報システムについても、今後は電子カルテ等の医療情報の共有など、外部の医療機関等とのシステムの連携が行われるものと思われる。この面からも、サイバー攻撃への対処が重要である。

上記のような状況から、医療従事者、医療機関及び医療情報関連事業者のサイバーセキュリティへの対応等について、最新かつ正確な情報を発信し、医療従事者等の会員が正しい判断を行うことができるよう啓発や情報共有を行える環境を整えるため、中立的な団体としてメディカルITセキュリティフォーラムが設立された。

フォーラムの活動内容は、①関係省庁のサイバーセキュリティに関係するガイドラインについて、医療分野に係わる箇所を統合し、医療機関や関連企業にモデルを示すこと。②医療介護福祉関連の関係各団体との情報交換、情報共有を行うとともに、会員に周知すること。③事業者からの最新情報を紹介し、その機能と適合する事例、期待される効果を、国際的なセキュリティ評価基準と照合して分類・表示し、医療機関や医療従事者がセキュリティ製品を採用する際の判断材料を提供することなどである。(注2)

(注1)http://www.afpbb.com/articles/-/3023484
(注2)http://www.mitsf.jp/activity/index.html

【著作権は、舟橋氏に属します】