第804号コラム:江原 悠介 理事(PwCあらた有限責任監査法人 システム・プロセス・アシュアランス部 ディレクター/IDF「ヘルスケア」分科会 主査)
題:「2023年の医療セキュリティを振り返る」
2023年は国内の医療セキュリティにとって大きな変換点となる節目であったといえる。
2023年4月から、医療法施行規則14条2項の見直しに伴い、医療機関では医療情報システムのサイバーセキュリティが医療安全管理の一部として求められることになった。これを受け、医療法25条1項に基づく立入検査で、感染症対策や医薬品管理、医療機器管理等と同等の観点でサイバーセキュリティへの対応が図られているかについて、医療機関は重点的なチェックを受けることになった。そして、この取り組みは2024年においても継続される。さらに、この範囲は当初は病院のみであったが、調剤薬局にも同等の検査が入ることが23年10月に周知された。今後、病院や薬局は検診や介護等の関連する領域と深く連動していることもあり、この範囲が拡大していくことは明らかである。
加えて、医療機器も薬機法におけるQMS省令に基づく医療機器基本要件基準12条3項の新規適用が行われ、品質管理要件の一部として、医療機器事業者には製品のサイバーセキュリティ対応が2024年3月末までに求められることになった。
つまり、2024年4月以降は、医療機関は医療機器においても同等のサイバー対策への取組が不可欠になっている。
このように今年は医療情報システム/医療機器のセキュリティ対応が、医療機関/事業者ともに法制上の要件として定められるようになった。今まで医療セキュリティはあたかも努力義務のように捉えられる誤解があった。だが、今や医療機関/事業者ともに経営上の善管注意義務の水準にまで拘束力が高まっており、他人事として医療セキュリティを軽視することは出来ない状況である。
一方、このような状況においても(あるいは、このような状況だからこそ)、医療機関におけるサイバー攻撃被害は今も多発している。医療法25条1項の立入検査がフォーカスする診療の継続性を損なうランサムウェアの感染事案以外も含め、医療ISACの調査によれば、毎週少なくとも1件の医療機関は何らかのサイバー攻撃にあっている状況である。
直近では社会的にもサポート詐欺の被害が多発している。これはあまり表立たないが、医療機関においても同様である。こうした被害は医療業務の継続性に直接的なダメージを及ぼすものではないが、機微性の高い要配慮個人情報を扱う医療機関にとっては、患者からデータを預かっているという意味で、適切なセキュリティ対応が欠かせない。こうした状況を受け、筆者が役員を務める(一社)医療ISACでは、医療機関から寄せられるランサムウェア以外のサイバー攻撃への問い合わせ内容を傾向分析したうえで、情報窃取型のサポート詐欺等への対応上の着眼点を整理し、「医療機関向けサイバー攻撃(情報窃取/ウェブ改ざん攻撃)対応検討の手引き」を公開した。国内の医療セキュリティ意識の高まりに伴い、今後はこうした対応の重要性もフォーカスされることが想定されるため、医療関係者で興味のある方はご一読頂きたい。
国内医療分野は加速度的にICT化が進んでいる。生成AI等のニューテクノロジーはその典型だが、一方、ブレーキとしてのセキュリティ・プライバシーへの意識は未だ成熟していない。医療機関におけるデジタルな診療環境の継続性は経営者や職員のサイバー意識への強弱により左右される。サイバー攻撃者は脆弱性を標的とする。この場合の脆弱性はシステムだけでなく、人の脆弱性も含む。人は、今まで慣れ親しみ、ストレスを感じない環境、つまりコンフォートゾーンからの脱却を無意識的に忌避する傾向がある。しかし、その結果による不利益は誰が一義的に受けるのか?それはほかならぬ、我々=患者である。この意味で、国内の医療セキュリティ向上への働きかけは、我々=患者にとっても安全安心な医療サービスの享受にとって重要である。
医療サービスには患者がオンデマンドで常にアクセス可能と考えることは、国内医療制度の完成度の高さに依存する、例外的なケースである。その歪みが日本における医療費の高止まりを招いているとも言える。こうした制度的・歴史的な背景も含めて、医療機関/事業者が構成する医療サイバーエコシステムの安定性は我々=患者々の利益に直結するという観点より、自分事として真剣に考える必要がある。そうした初めの警鐘が大きく鳴らされたのが2023年といえるのではないだろうか。
【著作権は、江原氏に属します】