【医療業界動向コラム】第10回　医療機関におけるサイバーセキュリティ対策の基本方針が決定される

COVID-19感染拡大だけではなく、システムでも感染被害の報告が続いている。また、感染だけではなく、デジタルデータの紛失や、ハードウェアそのものの紛失・流出などの他、人による不注意であったり、知識不足に起因するものも少なくはない。

令和4年9月5日に開催された「第12回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ」にて、「今後の医療機関におけるサイバーセキュリティ対策の基本方針」が決定された。その内容は、平時からの予防対応・インシデント発生時の初動対応・被害を受けた後の復旧対応の3カテゴリで構成されている（図1）。

サイバーセキュリティの問題は、病院・診療所単体の問題ではなく、地域医療全体にも影響をあたえるもの。外来診療がストップしたり、救急の受入れが不可になったり、退院調整や予定入院などにも影響が出てくる。地域医療の問題として、今後は地域医療介護総合確保基金の利用なども含めた検討が望まれるところ。

また、医療版ISAC（サイバーセキュリティに関する情報を共有することを目的とした組織の医療版）の創設などについても近々検討グループを立ち上げる方針も明らかにされ、サイバーセキュリティ対策の中長期的な取組についても方針が示されている（図2）。

図2にある「SOC」とはセキュリティ監視を提供するセンターのことで、サイバー攻撃の早期発見を目的とした機関。今年度予算の中で検討することとなっているが、こうした一連の対策については、費用や人的な負担もかかるため、医療現場での対策水準に関する実態調査を本年度中に実施し、医療機関に必要な支援や補助について検討することにしている。ハード・ソフトなどについてだけではなく、教育的側面、専門用語の理解なども含めて知識レベルの底上げに必要になってくる面もあるだろう。

なお、医療情報システムの安全管理に関するガイドラインを今年度末までにアップデートすることも明らかにされている（図3）。オンライン資格確認の開始に合わせて、外部接続するケースも増えてくるし、クラウドサービスの利用も増えてきたので、そうした外部との接続なども踏まえた内容へと更新される予定だ。

オンライン資格確認のスタートは患者にとっても便利になる反面、セキュリティを含めてリスクが高まることとなる。患者への個人情報管理に関する情報発信も合わせて考えるとともに、新たなオンライン資格確認に対する診療報酬上の加算がソーシャルコストにもなることを理解してもらうことが大切だと考える。
総務省では、国民や企業経営者、従業員等に向けた「国民のためのサイバーセキュリティサイト」を本年5月から公開している。サイバーセキュリティに関する知識習得にも有用な情報が網羅されているので、こうした情報を有効に活用し、広めていきたい。