第752号コラム:江原 悠介(PwCあらた有限責任監査法人システム・プロセス・アシュアランス部ディレクター、IDF理事)
題:「サプライチェーンリスク時代の医療セキュリティとは」
様々な報道で目にする通り、2022年も様々な国内の医療機関がランサムウェア被害を受け、患者診療の継続性に影響を及ぼす事案が多発した。直近で最も記憶に新しいものは大阪急性期・総合医療センターであろう。
大阪急性期・総合医療センター( https://www.gh.opho.jp/ )では、2021年のつるぎ町立半田病院における被害事案を受け、外部事業者による院内システムへのリモートメンテナンス機器の脆弱性への対応を行っていた。それにもかかわらず、配食サービスを提供していた外部事業者の業務ネットワークに設置されたVPN装置の脆弱性が悪用され、外部業者の感染被害が、当該業者と拠点間ネットワーク接続していた総合医療Cの院内システムへ拡大するといった、二次感染の被害を受けたものであった。医療機関には電カルや医事会計システムという基幹系システムのみでなく、各診療科の専門的な用途に適した部門システムが様々に導入され、その中には外部事業者とほぼ常時接続型で結びつく外部サービスも多数存在する。
医療機関は機微性の高い患者情報を預かり、それに基づき人の命を扱う業務を提供する。
一方で、2022年3月の四病院団体協議会のレポート( https://www.ajha.or.jp/topics/4byou/pdf/220401_28.pdf )からもわかる通り、医療機関の多くは、保険診療に基づくギリギリの経営収益を基本前提とするため、こうしたシステム・サービス群を網羅的に棚卸し、それぞれに適切なセキュリティ対策を講じていくだけのヒト・カネ・モノを確保することが難しい。こうした不都合な真実を隠蔽するためのアリバイとして、従前まで「基幹系ネットワークは外部と接続していないのでセキュリティ上の問題はない」というクローズドネットワークの安全神話 – 電脳鎖国政策--が信仰されていた。しかし、地域医療連携、遠隔診断・読影サービスの普及、オンライン診療の一般化、オンライン資格確認環境・電子処方箋の義務化等、院内のクローズドなリソースのみで患者ケアを自己完結させることは、患者ニーズの多様化、医療経営の効率化、多職種連携における分業体制、医療DX(??)等、従来の想定外の「黒船」の到来のもと、不可能であることは言うまでもない。新型コロナというウイルスの感染者を隔離しても、院内衛生の鎖国政策が崩壊した医療機関が多数あったように、電子空間におけるウイルスに対しても、電脳鎖国政策 – 入口対策重視の境界防御 --- は通用しない。
様々な専門職・事務職、専門的なサービス・システムが入り乱れる医療機関は、マルクス風に言ってみれば、「医療的諸関係の総体」、つまり外部とのつながりの束である。2022年11月に大阪総合医療Cの事案を受けて、厚労省は医療機関における外部との接続点を洗い出し、適切な防御対策を講じるように緊急通知を出しているが、これに適切に対応できる医療機関はヒト・カネ・モノ問題が解決しない限りは、ほとんどいないと思われる。「無い袖は振れない」わけである。2022年12月に大学病院医療情報・企画関連部長会がサプライチェーン攻撃対策に係る提言( http://square.umin.ac.jp/johobuchokai/pdf/%E6%8F%90%E8%A8%8020221219.pdf )を公表し、そのなかで財政的な措置を政府が講じるべきであると指摘する点はこの流れのなかで理解すべきだろう。
このように大阪総合医療Cの事案は、医療機関が患者診療を行う上で結びつく外部業者・サービスとの「水平的」なサプライチェーンの脆弱性、及びそれを解決するための課題の所在を問うものであった。
しかし、もう一つ重要なサプライチェーン群がある。それは病院・病院間(病病)、病院・診療所間(病診)、診療所・診療所間(診診)といった「垂直的」なサプライチェーンの課題である。
医療機関は20床以上の病院と19床以下のクリニック(無床・有床)に分類されるが、前者によるセキュリティ対応が十分でも、医療機関における外部接続度の高さを考慮すれば、医師一人と事務員数名で運営されるクリニックにも同様の対策が行われなければならない。
患者診療における垂直的なサプライチェーンとして、地域医療連携や専門医コミュニケーション等、病院/診療所、あるいは診療所間は相互連携している。ある病院のセキュリティが万全でも、その病院の上流/下流を構成するサプライチェーンに脆弱性があれば、二次感染の被害拡大は免れない。
病院数が8000件近くあるなか、医科クリニックだけでも10万件近くある。病院比較で10倍以上のクリニックが国内には存在し、後者の方が地域医療に密接に関係している。病床規模が小さければ小さいほどセキュリティに係るヒト・カネ・モノは不足する。つまり、20床以~100床の病床規模の医療機関より、0床=無床のクリニックのほうがセキュリティ対策水準は低い傾向がある。
今までほぼ論じられてこなかったが、こうしたクリニックにおけるセキュリティ対策が今年度は議論の俎上に上がってくるだろう。
というのも、筆者が把握する限りでも、2022年はクリニックにおけるランサム被害事例が多く見受けられている。さらに、最近は、オンライン資格確認/電子処方箋等の導入義務化の流れの中で、インターネットと院内環境を接続する際のセキュリティ相談をよく受けるのだが、その際に院内ネットワーク環境図等を見ると、現行のシステムや機器がインターネットに、ファイアーウォールやUTM等を介せず接続されているにもかかわらず、システム業者はセキュリティ上の懸念を病院に一切伝えていない等、とんでもない状況が多く見受けられている。ドアも窓もなく、外部からすべてが丸見えになっている家に住んでいるのに、システム業者(建築業者)はそれがいかにまずいことかを教えてくれていないのである。なぜか?契約上、そうした役割が定められていないからである。
特に一人医師医療法人型の、医師一人と事務職員数名で運営するクリニックにおける院長(医師)はシステム・セキュリティも含めて病院のマネージメントを全て担っており、システム業者は言わずともセキュリティも含め適切なセキュリティを講じたシステム(家)を作ってくれると信じている。医師はセキュリティの専門家ではないので、その道の専門家であるはずのベンダの言い値通りに進めてしまう。しかし、外部の専門家が、ふたを開けてみると、惨々な光景が広がっている。これが10万件近い、患者診療のために垂直的なサプライチェーンを病院と結んでいる大半のクリニックのセキュリティ現状といえる。なお、寡聞ながら、同種の傾向は、オンライン資格確認・電子処方箋等、はじめてインターネットと院内環境を接続しようとするクリニック群に顕著に浮かび上がっている。ある調査結果では、ベンダはオンライン資格確認環境導入に際してセキュリティをちゃんとやっていると思うか?という質問に対して「はい」の回答割合は半数以上だが、クリニックがセキュリティ向上にために何をなすべきかについて情報提供してくれたかという回答について、「はい」の回答割合は半数以下であった。ベンダ性善説(特に何も言わずとも全部ベンダさんはやってくれているはず)は国内クリニックにも根強い。
まとめると、2022年まで病院内部の業務を構成する水平的なサプライチェーン(対業者)の脆弱性・課題意識が高まった。これはこれで重要なことだが、医療現場の実態としては、もう一つの垂直的なサプライチェーン(対同業)におけるセキュリティの底上げも急務の課題としてもはや待ったなしの状態になり始めている。2023年は垂直的なサプライチェーンに絡んだランサム被害が国内医療機関で増加する可能性が高いといえる。これに対してどのような対策を講じていくべきなのかについて筆者は解が思いつかない。正直なところ、「コツコツとやれる範囲からやる」しか現状では選択肢はないと考えている。
【著作権は、江原氏に属します】