情報セキュリティー対策

個人の理解を高めることも重要

　ランサムウェアというコンピューターウイルスによって、病院が甚大な被害を受けるというサイバー攻撃が報告されている。報道されているもの以外にも事例があるとのことだ。
　診療報酬において明示的な加算がないため、積極的な対策が難しいといった経緯はあるものの、情報セキュリティーは医療機関にとって経営リスクにもつながる非常に重要な要素となっている。医療機関は患者の情報を適切に管理し、プライバシーの保護、患者の安全管理に努めることが求められる。病院システム管理では、データオーナーである医療機関に所有者責任があることは理解しておく必要がある。その上で、システム管理、セキュリティー対策は委託先に求め、「任せつつ責任を共有していく」というのが現実的な対応となるだろう。
　セキュリティーリスクは診療システムばかりではない。インターネットを介して医師同士や学会、企業、患者やその家族と連絡を取り合う機会が増えている。フリーメールやウェブ会議などはすでに日常となっている。以前はパソコンやＵＳＢメモリなどに保存していたものが、今はクラウドに保存されているケースも増えているようである。インターネット利用におけるセキュリティーは、個人の理解と管理によって維持されていかなければならない部分であり、一層の意識向上と注意が必要となる。
　経済産業省の中小企業のサイバーセキュリティー対策では、一般中小企業向けに情報セキュリティーを啓発している。業種業界にかかわらず参考になるので、参照願いたい。また、『中小企業の情報セキュリティ対策ガイドライン第３版』（独立行政法人情報処理推進機構）付録１には「情報セキュリティ５か条」として、①ＯＳやソフトウェアは常に最新の状態にしよう②ウイルス対策ソフトを導入しよう③パスワードを強化しよう④共有設定を見直そう⑤脅威や攻撃の手口を知ろう――との記載もある。特に大阪では、２０２５（令和７）年に大阪・関西万国博覧会という国際的なイベントを控え、サイバー攻撃の脅威が身近に迫るものとして気を引き締めておく必要がある。
　医療システムのセキュリティーは導入、保守の事業者と協力して進めていく一方で、メールやウェブ、ＳＮＳなどインターネット利用に関する部分は事故事例や有効な対策方法などの情報共有を医師会内でも促進しながら、個人の意識を高め、対策を講じていかなければならない。サイバー攻撃を受けた大阪急性期・総合医療センターは、『情報セキュリティインシデント調査報告書』をホームページで公開している。概要版もあるので、興味のある方は閲覧願いたい。
　医療機関でサイバー対策を実施していても、被害を受ける可能性は残る。国民に対するリスクの周知、あるいは攻撃を受けた後のデータ復旧等は、国の責務として取り組むべきである。