医療機関でのサイバー攻撃被害の動向を踏まえ、攻撃の被害に遭わなかったり、被害を受けたとしても影響を最小限にとどめて早期に復旧できたりするよう、早急に対策を講じなければならない状況だ。こうした中、病院や診療所はどのような情報セキュリティ対策を取るべきなのか。このほど開催されたＣＢnewsのセミナーで、厚生労働省医政局の特定医薬品開発支援・医療情報担当参事官室の島井健一郎室長補佐が、「医療情報システムの安全管理に関するガイドライン」（以下、ガイドライン）の改定のポイントを中心に、いま求められる対策や考え方などを語った。【松村秀士】

　厚労省は、2022年3月末に見直した現行のガイドライン（第5.2版）を、23年3月末を目途に改定する。医療機関で相次ぐサイバー攻撃による被害などを踏まえ、各医療機関でサイバーセキュリティ対策を含めた情報セキュリティ対策をさらに強化してもらうのが狙いだ。

　次の第6.0版では、全体の構成を変える。医療機関が対策を講じるに当たっての基本的な知識や各編の概要をまとめた「概説編」をベースに、▽意思決定・経営層を対象にした「経営管理編」▽システムの安全管理者向けの「企画管理編」▽システムの運用担当者向けの「システム運用編」－という構成にする。それぞれの役割に応じて押さえておくべき個所を明確化する。

　セミナーで講演した島井氏は、情報セキュリティ対策のリテラシーが高い医療機関の経営者がいる一方で、そうでない経営者も少なくなく、リテラシーのばらつきをどう減らしていくかが課題だと指摘した。リテラシーの底上げを図るため、情報セキュリティ対策にあまり関心のない経営層にもいかに読んでもらえるかを念頭に置いて工夫したのが、第6.0版での経営管理編の新設だという。

　経営管理編では、病院や診療所の経営層が医療情報システムに関する適切な安全管理を行わずに情報セキュリティインシデントが発生した場合、経営責任や法的責任などが問われる可能性があることを明確化する。

　医療機関は、さまざまな業務を外部の事業者に委託することがある。そのようなケースで留意すべきこととして、島井氏は、「委託事業者に対する管理責任は医療機関側にあることを改めて認識する必要がある」と強調。そのため、情報システム・サービス事業者に委託する時の事業者選定や、委託事業者との責任分界、役割分担に関する考え方を経営管理編で明確に示すという。

■ガイドラインに「ゼロトラスト」の考え方も

　第6.0版には、「ゼロトラスト」思考を参考にした対策を進める考え方も盛り込む。ゼロトラストは、文字通り「何も信頼しない」こと。簡単に言うと、「こういう対策を行ったので万全というのではなく、その対策でもうまくいかない場合に備えて別の方法や対策を取る」という考え方だ。島井氏は、「あの手この手での多層防御策や対応策を講じることが重要だ」と強調する。

　ただ、さまざまなセキュリティ対策を講じるためには費用と手間が掛かる。そのため、経営的に厳しかったり、対応できる人員が確保できなかったりする医療機関では限界があるのも実情だ。しかし、対策をおろそかにすればサイバー攻撃被害のリスクが一層高まる。では、どうすればいいのか－。

　「限られた資源の中で自分たちが納得するリスク管理方針を決めた上で、それでも何か問題が起きた時に備えて事前にBCP（業務継続計画）を策定したり、システム障害が発生した時の対応手順などを外部事業者との間で取り決めたりしていただきたい」と島井氏は呼び掛ける。

　また、次のガイドラインの改定を踏まえ、それぞれの役割の人に情報セキュリティ対策の重要性を改めて認識してほしいとも訴えた。

（残り0字 / 全1518字）