パソコンやサーバーのデータを暗号化し、復元のため⾝代⾦を要求するコンピューターウイルス「ランサムウェア」をはじめ病院でもサイバー攻撃の被害に遭うケースが増え始めている。そこで重要になるのがサイバーセキュリティー対策だが、現状、病院ではどうなっているのか。日本病院会で情報発信を担当する大道道大副会長（森之宮病院院長）に現状や課題などについて聞いた。【川畑悟史】

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　日本病院会・大道副会長（写真は森之宮病院提供）

－サイバー攻撃に遭う病院が増えています。

　サイバー攻撃の被害に遭う病院が目立ち始め、四病院団体協議会（四病協）が実施したサイバーセキュリティーに関するアンケートでも、9割以上の病院で危機感を持っていることが分かった。ただ、どう対応していいのか分からないのが実情だ。

　これまで病院が力を注いできたのは患者などの個人情報漏洩への対策だ。例えばUSBメモリーに情報を入れたり、学会発表のために個人所有のパソコンに患者情報を落として、家で作業をしたりすることは絶対やってはいけないと、病院関係者に伝えてきた。院内の人的ミスを防ぐための対策は、ここ10、20年どの病院もやってきたから、リテラシーは上がっているが、われわれ病院がサイバー攻撃の標的となり、外から攻められるという発想はあまりなかった。病院は、考え方を180度変える必要がある。

　例えば、幾つかの病院で感染したランサムウェアに関してはVPNの脆弱性の問題が根底にあるとされている。厚生労働省も総務省でも、そのような見方をしており、型番の古いルーターの使用を控える注意喚起をしている。ただ、その型番に該当しないからといっても、ルーターのソフトウエアをアップデートしなければ、セキュリティーホールがある状態で使用することになるので、それも危険だ。

　もう1つがデータのバックアップの在り方だ。電子カルテを使っている多くの病院ではバックアップを取っている。メインサーバーが劣化や予測せぬトラブルに見舞われた際の予備エンジンとして整備している。ただ、先ほども話したが、サイバー攻撃のような外部からのリスクは、あまり想定していないため、バックアップサーバーを完全にメインサーバーと切り離している病院は少ない。当院でも、メインとバックアップサーバーは常時オフラインにしてあるが、完全な切り離しはできていない。バックアップにデータを移行させる時にラインをつなぎ、差分データを落として、再びラインを閉じるという方法でやっている。

－一時的とは言え、メインサーバーとバックアップサーバーがオンラインでつながるということですか。

　残念ながらそうなる。電子カルテのバックアップの方法として、クラウドを活用したものもあるが、これを導入している病院は2割に満たない。理由はコストだ。導入費用として数千万円ではきかないのではないか。オフラインでも、サーバーの取得費や人件費などを入れれば1,000万円ぐらいにはなるが、それでもクラウドに比べればコストは抑えられる。しかし、オフラインによるバックアップを行っている病院でさえ半分以下だ。

　サイバー攻撃を想定せずに、電子カルテのバックアップを行っている病院は少なくない。電子カルテシステムはインターネットとつながっていないから安全という認識を持つ病院経営者もいる。ただ、こうした意識改革さえ進めば、サイバーセキュリティー対策に、どの病院も取り組むかというと、それは違う。整備をするための費用が必要になるが、ない袖は振れぬ、というのが今の病院の実情だ。

　先日、四病協で、病院での情報セキュリティー対策に関する費用について試算した。全産業での収益に占めるIT予算は平均で2.21％。その中で、セキュリティー予算が15％ぐらいだった。ただし、他産業は長年セキュリティー費用を投資しているため、病院が同水準に達するまで数年は2倍程度、30％ほどの投資が必要と考える。これを病院の売り上げ換算で当てはめると、「100－199床」だと1,200万円、「200－299床」では2,600万円。「300－499床」になると5,000万円が予算として必要になり、500床以上の病院だと1億3,000万円にも上ることが分かった。現在、この試算を基に国に対して公的補助を要請する予定である。

　しかし、よくよく考えれば、病院では、電子カルテや会計システム、画像ファイリングなどさまざまなところでIT化が進んでいるため、他産業に比べてITに関する予算は大きいかもしれない。ICTなどにより、医師の働き方改革を進めていかなければいけないことを考えると、ますます病院内のIT化が進む。IT化をいっそう進めるということは、それだけ設備投資をすることになるが、セキュリティー対策が行き届かず、サイバー攻撃に遭い、2カ月診療ができないということにでもなれば、病院の経営自体が行き詰まる恐れもある。それだけに、サイバーセキュリティーの構築は、病院にとって喫緊の課題ではある。

　病院は24時間動いているが、サイバー攻撃に遭い診察ができなければ、患者の生命が脅かされる。重要インフラの1つに病院が位置付けられている。そうであれば、サイバーセキュリティー費用の3分の2とか半分を国が負担するので、早急に整備してほしいというメッセージがあっても良い。国は、もう少し病院に優しくてもいいのではないか。

－確かに国の支援は必要ですが、財源も限られます。

（残り931字 / 全3160字）