お知らせ
【識者の眼】「病院・診療所が抱えやすいセキュリティの死角」江原悠介
国内の医療機関におけるサイバー攻撃被害の多くは、院内の医療情報システムに対してITベンダがリモートメンテナンス目的で設置したネットワーク機器(VPN機器)の脆弱性に起因して発生している。このような状況を受け、医療ISACでは2022年11〜12月にかけて、日本病院会及び全国保険医団体連合会の加盟組織に向けて、院内システムへのリモートメンテナンス機器の脆弱性対応状況と、ITベンダとのセキュリティ面の契約状況についてのアンケート調査を行った。
その結果、今回の調査対象組織の8割近くがITベンダによるリモートメンテナンスを許可しているものの、そのうち5割弱は院内で利用されるVPN機器の種別やバージョン等を把握していない状況であった。ITベンダが自院にどのような機器を持ち込んでいるかについて正確に把握していなければ、該当機器にセキュリティ上の脆弱性が発生しても適切な対応が行えないことは言うまでもない。
医療機関としては「ITベンダが機器のセキュリティも含めてしっかり対応してくれるはずだ」と考えるかもしれない。だがITベンダは契約に基づき然るべき役割・責任を担うという商慣習を前提としている。契約外のことを勝手に行うことはできない。そのため、VPN機器も含めた院内システムにおけるセキュリティ上の責任分界点を契約で確実に定めることが必要となる。しかしながら、今回の調査結果ではこうしたセキュリティ面の契約を取り交わしている組織は全体の2割弱にとどまっている状況であった。
詳細は医療ISACのウェブサイト1)に掲載されているため興味のある方はご確認頂ければと思うが、これらの傾向は病床規模が小さいほど顕著になっており、特に無床の医科・歯科クリニックで上記の特徴が最も強く見られている。一人医師型の無床クリニックで、セキュリティ管理を院長自らが実施することは現実的に難しく、ITベンダに任せっきりになることは仕方がない。しかしながら、契約に基づくセキュリティ上の責任分界が明確でないにもかかわらず、「ベンダが必要なことはすべてやってくれているはず」と思い込むことは一種の責任放棄といえる。思い当たる節がある方は、まずは自院で利用する院内システムの契約書を見直し、しっかりとセキュリティ面の条項が含まれているかを確認することをお勧めしたい。
【文献】
1)医療ISAC公式サイト. https://m-isac.jp/
江原悠介(一般社団法人医療ISAC理事)[サイバーセキュリティー][ITベンダとの責任分界]
