当今、国内の病院や診療所といった医療分野でランサムウェアの被害報道が多い状況だが、何も患者ケアの活動は医療分野のみに閉じた取組ではない。在宅復帰支援等を目的とする介護施設もあれば、予防医療を担う健診施設もあり、服薬支援を行う薬局もある。患者ケアはこうした医療・介護・健診・薬局等、様々な分野が絡み合うヘルスケアサプライチェーンのもとで行われている。そのため、本来的には、医療以外の分野にも焦点を当てたセキュリティ調査が重要である。
上記背景のもと、医療ISACでは、介護分野は(公社)全国老人保健施設協会、健診分野は(公社)日本人間ドック学会、薬局分野は(一社)日本保険薬局協会と共同で、各分野におけるセキュリティ管理実態を調査した。病院・診療所を対象にした前回調査の結果(No.5160)も考慮すると、ヘルスケアサプライチェーンにおけるセキュリティの実態が浮き彫りになっている。
例えば、サイバー攻撃への対策状況(ヒト・モノ・カネ)を比較分析すると、介護分野のセキュリティへの意識・取組が劣後していることが判明している。また、サイバー攻撃への対策を考えるうえで基本となるIT資産管理(どのような機器が院内・施設内で利用されているかの把握)の取組においては、介護分野に加え、診療所(19床以下)分野もその把握率が低い。さらに、介護・診療所分野は契約におけるセキュリティ上の合意形成率も他と比較して低い割合であることから、介護施設や診療所はヘルスケアサプライチェーンの中でも高いセキュリティ上のリスクを抱えていると言える。
一方、健診分野や薬局分野はIT人材配置数やセキュリティ予算の確保率も高く、セキュリティ対応の成熟率も高い状況である。もちろん、健診・薬局分野とその他の分野では経営モデルの前提が異なる点もあるが、患者ケアを担うという業務目的は一致している。
よって、健診・薬局分野のプラクティスを分析し、可能な範囲(特にリテラシー向上等の、低コストでも着手できる範囲)で、介護施設や診療所というセキュリティ対策水準の相対的に弱い分野へのナレッジ・ノウハウ共有を行うことで、国内の患者保護のサプライチェーンにおけるサイバーセキュリティの強靭性を高めていく仕組み作りが喫緊の課題と言える。
医療ISACではこうした仕組み作りに向けて検討を進めており、適宜情報発信を行っていく計画である。
江原悠介(一般社団法人医療ISAC理事)[サイバー攻撃]