セキュリティの
学び場

今回の解説ニュース

健診施設に対して行ったセキュリティのアンケートについて結果が発表されています。今回は、医療系システムにかけられているセキュリティ予算の現状や、医療機関に求められるセキュリティ対策について説明します。

健診システム、及び当該システムと連携する電子カルテシステムの利用状況および、そのセキュリティについて、アンケート調査が実施され、その結果によると、調査対象健診施設のうち8割以上がサイバーリスクへの脅威を感じていることが判明しました。

脆弱性の指摘のあったForitnet社製VPN製品の利用率は3割強で、おおよそ1割程度の施設ではベンダによる非対応判断や指示、あるいはクローズドネットワークの安全神話等の理由により未対応となっています。また、全体の3割程度はVPN製品の種別を把握しておらず、潜在的な脆弱性リスクを抱えている状況も明らかになりました。

クローズドネットワークの安全神話とは、インターネットに接続されていないため、サイバー攻撃を受けることはないとして、リスク許容が行われることです。セキュリティ対策を行っていないシステムに対して、USB接続等を経由したマルウェア感染でリスクが顕在化した事例が確認されています。

確かに、インターネットに接続されていないことで想定される脅威の発生確率は下がりますが、情報資産と脆弱性が存在している以上はリスクが潜在しているため、一定のセキュリティ対策が求められます。

医療機関に求められるセキュリティ予算の増大、社会課題にも

調査結果によると、年間セキュリティ予算について、500万円未満が4割弱を占めています。また、セキュリティ予算が十分と回答する施設は1割強程度で、施設のIT規模が求めるセキュリティ予算が十分確保できていない事態が浮き彫りになりました。絶対値としてセキュリティ予算が十分であるかの判断は困難ですが、相対値として医療機関に求められるセキュリティ対策は高くなることが考えられます。

理由として、保持している情報資産、特に個人情報の量や質が多いことが挙げられます。個人情報保護委員会が公表している「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」では、医療機関等における個人情報の例として、診療録、処方せん、手術記録、助産録、看護記録、検査所見記録、エックス線写真、紹介状、退院した患者に係る入院期間中の診療経過の要約、調剤録等、数多くの機微な個人情報が挙げられています。

医療機関のセキュリティ対策において、障壁となっている課題を一つずつ丁寧に解消することが求められます。医療系に限らず、セキュリティ対策ができない理由として、人・技術・お金の課題があると考えます。人や技術の課題は、今回の医療ISACなど、社会的な受け皿を作っていくことで解消が試みられています。しかし、お金にまつわる予算の問題は、解決が困難な社会課題として根深く存在しています。