昨年の2023年は国内の医療セキュリティにとって大きな変換点となる節目の年であった。
4月から、医療法施行規則14条2項の見直しに伴い、医療機関では医療情報システムのサイバーセキュリティが医療安全管理の一部として求められることになった。これを受け、医療法25条1項に基づく立入検査で、感染症対策や医薬品管理と同等の観点でサイバーセキュリティへの対応が図られているかについて医療機関は重点的なチェックを受けることになり、この取り組みは24年においても継続される。さらに、この範囲は当初は病院や診療所(医科/歯科)のみであったが、調剤薬局(薬科)にも同等の検査が入ることが23年10月に周知された。今後、介護等、関連する領域にも拡大していくことは明確であると言える。
加えて、医療機器についても、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(薬機法)の枠組みの中で、医療機器基本要件基準12条3項の新規適用に伴い、品質管理要件の一部として、医療機器事業者には製品のサイバーセキュリティ対応が24年3月末までに求められている。つまり、24年4月以降は、医療機関は医療機器の利用においても同等のサイバー対策への意識が不可欠になっている。
このように今年は医療情報システム/医療機器のセキュリティ対応が、医療機関/事業者ともに法制上の要件となった。今まで医療セキュリティは努力義務のようにとらえられる誤解があった。だが、今や医療機関/事業者ともに経営上の善管注意義務の水準にまで拘束力が高まっており、他人事として医療セキュリティを軽視することはできない。
一方、このような状況においても(あるいはこのような状況だからこそ)、医療機関におけるサイバー攻撃被害は多発している。医療ISACの調査によれば、毎週少なくとも1件の医療機関は何らかのサイバー攻撃にあっている状況である。直近では社会的にもサポート詐欺の被害が多発しているが、これは医療機関においても同様である。医療機関における情報漏洩の原因の多くに今やサポート詐欺被害が占めており、医療セキュリティも社会的なサイバー被害動向と切り離せない状況にある。
医療のデジタルな診療環境の継続性は経営者(ひいては職員)のサイバー意識への強弱により左右される。そして、その影響をダイレクトに受けるのは他ならぬ患者である。その意味でも医療セキュリティは既に経営上の善管注意義務に帰する水準にあるとともに、「患者保護」の重要なピースの1つであることを改めて銘記することが今年も必要であると言える。
江原悠介(一般社団法人医療ISACステアリングコミッティ運営委員)[善管注意義務][患者保護]