第717号コラム:江原 悠介 理事(PwCあらた有限責任監査法人システム・プロセス・アシュアランス部 シニアマネージャー)
題:「昨今の国内病院を取り巻くサイバーリスクへの取組状況」

2021年11月に「医療」分科会では、(一社)医療ISACとともに「医療機関向けランサムウェア対応検討ガイダンス」を公表した。本ガイダンスは様々なメディアにも取り上げられ、国内医療分野におけるサイバーセキュリティの重要性の警鐘を鳴らすための効果が微力ながらもあったのではないかと考えている。

一方、21年11月以降も国内病院ではランサムウェア感染の被害報告があるが、一部の病院では医療ISACの情報提供によりサイバー攻撃が未然防止された事例もあり、国内の医療分野でもこうした脅威情報の共有・発信活動の効果が一定程度見受けられている。

ただし、国内の医療機関の多くにおいて、ランサムウェア等を含めたサイバー攻撃に対するセキュリティ対策は他業界と比較すれば劣後している現状である。

例えば、2022年1月末~2月末にかけて、四病院団体協議会(日本病院会・全日本病院協会・日本医療法人協会・日本精神科病院協会)加盟病院に対して実施されたセキュリティアンケートの結果からも分かる通り、国内の病院の多く(9割以上)はサイバーリスクに対する脅威を感じている一方、年間のセキュリティ予算が500万未満と回答した病院は全体の半数以上に及び、さらにセキュリティ予算が十分と回答しなかった病院は9割近くに及んでいる。

国内の保険医療は診療報酬という公定価格に基づき運営されており、診療報酬も低下傾向にあるなか、ほとんどの病院は赤字と言ってもいい。そのような状況下で自助努力で他の重要インフラ(金融や通信等)企業と同様のサイバー対策を講じることは既に予算(経済的なリソース)の面で困難な状況となっている。

また、システム管理を担う組織、つまり人的リソースについても、四病院団体協議会のセキュリティアンケートの結果が示す通り、全体平均は3人弱である。病院にも一般企業同様、様々なシステムが多数導入されているが、これらをこのリソースで十分にセキュリティ管理するというのはほぼ不可能と言える。

このようなサイバーセキュリティにかけるべき経済的・人的リソースが他産業と比較して圧倒的に不足する医療業界では、直近の22年4月に四病院団体協議会名義で、厚生労働省大臣へセキュリティ予算の公的補助に向けた要望書が提出されている。

なお、厚生労働省も22年1月~2月にかけて、国内病院のランサム被害の多発に向けた施策検討のために、VPN機器の脆弱性対応状況やバックアップの管理状況についての調査を行っているが、その結果内容からは、四病院団体協議会とほぼ同様の回答傾向がうかがえる。

その結果も踏まえてアップデートされた厚生労働省「医療情報システムの安全管理に関するガイドライン5.2版」が22年3月末に公開され、ランサムウェア等の被害に備えたバックアップのオフライン管理や技術的な脆弱性が必要な管理策として追記されている。加えて、そのQAにも22年4月に改正施行された個人情報保護法に基づき、何らかのインシデントが発生した場合には個人情報管理委員会、及び本人通知を適切に行う必要が明記される等、今後さらなる医療分野におけるセキュリティの重要性が示された。

このように国内の医療分野のサイバーセキュリティは他産業と比較すれば劣後はしているが、関係業界や監督官庁が一体となり、少しずつではあるが、確実に進んでいると考えられる。こうした進みに今後も「医療」分科会として少しでも寄与出来ればと考えている。

【著作権は、江原氏に属します】