数年前から病院を狙ったサイバー攻撃が目立つようになってきた。主な動機としてはカネ目当て、要するにランサムウェア攻撃である。電子カルテ等の導入で、病院のデジタル化が進展して業務効率が改善された一方、このような攻撃が大きなリスクになっている。
この傾向は、日本だけのことではない。人の命に直結する業種だけに「カネを払ってくれそう」と見えるのか、狙ってくるヤカラが増えている。2年前に訪問したWestern Sydney大学では、自前のSOC(Security Operation Center)を持って教育と地域貢献の両立を果たしていた。医学部から発祥した大学で、病院被害が懸念されたことがきっかけだという(*1)。
日本でも、厚労省は診療機関のデジタル化推進にあたり「医療等情報活用WG」の中でサイバーセキュリティの議論をしていて、2025年版の「サイバーセキュリティチェックリスト」が公表されている。
医療機関等はサイバー攻撃に備え「適切なパスワード設定、管理」「USB接続制限」「2要素認証」等確認を—―医療等情報利活用ワーキング(2) | GemMed | データが拓く新時代医療
サイバーセキュリティを通常の企業レベルで行うには、
・ITガバナンスの確立
・公衆衛生的措置(Cyber Hygiene)の展開
が必要なのだが、今回のチェックリストはそのうちの後者を遂行する非常に重要な対策だ。マイナ保険証への統一が頓挫して、全病院・診療所・薬局等での患者情報の共有は難しくなったがその方向性は確かなので、どうしても上記2点は徹底する必要がある。この上は、ITガバナンス確立もリストに加えてほしいと思う。
専門家の中では「リストに頼りすぎると、リスク管理でなくリスト管理になる」との評もあるが、最初の一歩としてリストも役に立つ。小規模診療所・薬局も含めると難しい道ではあるが、努力をお願いしたい。
