病院もサイバー攻撃の標的にされる時代に。被害に遭った病院は、どんな対応が必要なのか。病院や診療所のサイバーセキュリティーを研究する、日本医師会総合政策研究機構の坂口一樹主任研究員に聞いた。【川畑悟史】

                                                                                                                           　　日本医師会総合政策研究機構・坂口主任研究員

－サイバー攻撃からの被害を少しでも回避する方法を教えてください。

　厚生労働省から、「医療機関のサイバーセキュリティ対策チェックリスト」が公表されています。まずは、このチェックリストを活用して自院のセキュリティーをチェックし、必要な予防策・是正策を講じるのが良いと思います。経営層向け、システム管理者向け、一般従業員向けと、3つの職域・職階のレベルに応じたチェックリストになっています。システム管理者向けでもA4サイズで3～4ページ、経営層や一般従業員向けだとA4サイズで1ページ程度のチェックリストです。

　　また、厚労省のウェブサイトには、院内での研修用教材が動画やPDFで公開されています。これらの教材も、経営層向け、システム管理者向け、一般従業員向けと、3つの職域・職階のレベルに応じて作られていて、現場での研修に役立てることができると思います。「医療分野のサイバーセキュリティ対策について」という、厚労省のウェブサイトには、関連する情報や資料が随時アップデートされています。特に、医療情報システムのセキュリティー担当者は必見です。

　ただ、医療機関でセキュリティー対策に当たる人材確保をどうするかといった課題は残ります。大学病院や国立病院クラスの大病院であれば、情報システムの担当部署や専任者がいるケースが多く、そこが担当すればよいでしょう。しかし問題は、診療所や民間の中小病院です。サイバーセキュリティー対策と言われても、ICTにさほど明るくない院長先生が一人でやっているような診療所では、どうしたらいいのか、よく分からないのが実情ではないかと想像します。

　加えて診療所や民間の中小病院では、セキュリティーに詳しい専門人材を雇用できる経済的余裕がないのが、今の医業経営の実情だと思います。2021年、同僚の堤信之研究員と「病院・診療所のサイバーセキュリティ：医療機関の情報システムの管理体制に関する実態調査から」という報告書をまとめました。その中で、地域の医師会や病院団体等を通じて専門家の協力を得るなどして、サイバー攻撃のリスクに備えるのが現実的ではないかと提言しました。

　さらに言えば、かかるリスクに備えるための財源確保は公的に、すなわち税財源で行うべきだと私は考えています。地域医療は住民・患者にとっての生活インフラであり、そのインフラへのサイバー攻撃のリスクへの備えというと、警察や消防といった公共サービスに近いものだと言ってもよいのではないでしょうか。

－万が一、サイバー攻撃に遭ったらどうしたらいいのですか。

　厚労省には届出先があり、情報処理推進機構（IPA）に技術的相談窓口があります。そこにまず、届出と相談を行うべきでしょう。攻撃を受けたシステムの販売業者やサポート業者に連絡を入れてそのサポートを受けるというのは、おそらくどこの現場でも行う対応でしょうが、行政にも届出先と相談窓口があることをぜひご認識されるべきと思います。

　届出先は厚労省医政局研究開発振興課医療情報技術推進室で、相談先が情報処理推進機構「情報セキュリティ安心相談窓口」です。

　サイバー攻撃への対応について、日本は決して手をこまねいているわけではありません。国は14年に「サイバーセキュリティ基本法」を制定。内閣府に司令塔に当たる組織が整備され、主な産業ごとに具体的行動計画が策定されています。医療はもちろん、サイバーセキュリティー対策が求められる主要産業の一つという位置付けです。

　上記の届出先や技術的な相談窓口も、こういった政策の一環として整備されていますが、まだ医療現場には周知されていないようです。われわれの実態調査で、これらの届出先と相談先の認知度を尋ねたところ、知っていると回答した割合は共に3割に満たない結果でした。これらの窓口の認知度向上は重要な課題です。短期的には現場の問題解決につながる可能性が高まるだけでなく、届出や相談に関わるデータが集まることで、中長期的には次なるリスクへ備えるための分析が可能になるでしょうから。

－今後、どのような取り組みをすればいいのでしょうか。

　自助・共助・公助という視点で、改めて整理してみたいと思います。

　

（残り730字 / 全2935字）