医療ISACでは従来より国内の医療機関等におけるセキュリティ対応に向けた情報発信や資料公開等を行っているが、その中でも特に医療情報システム・サービスを提供する事業者(以下、ITベンダ)による医療機関等への能動的な情報提供 ~リスクコミュニケーション~ の重要性を啓発してきた。
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、安全管理ガイドライン)では、ITベンダは医療情報システム・サービスを提供する主体として、医療機関等、及び当該機関が受け持つ患者に対する安全管理義務の一部の履行に際して補助的な役割にあることを考慮し、医療機関等へリスクコミュニケーションの一環として情報提供すべき項目も定められている。
ただし、これらはあくまで安全管理ガイドラインを遵守する上での必要最低要件と言えるだろう。ITベンダは、サイバーリスクが日々高まっていく状況を踏まえ、安全管理ガイドラインが定める情報提供項目にとどまらず、医療機関等の構造的な課題・問題に踏み込んだ幅広い観点より、積極的かつ能動的なセキュリティ面のリスクコミュニケーションを本来しなければならない。状況でもある。
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の観点からは、医療情報システム・サービスを提供するIT事業者が、レポートで触れた国内病院の実状に照らして、ガイドラインを遵守するために必要となる技術的な対策(自社の製品・機能)の情報を積極的に発信しなければならないと言える。
病院の多くではセキュリティ対応へのリソース(情報収集・分析含む)は限られており、病院からIT事業者へ働きかけ、必要となる情報を収集することすら苦心するケースが多い。
IT事業者は病院に対して、その業務特性や構造的な課題を織り込んだ、能動的な情報発信(リスクコミュニケーション)の取組を心がけなければならない。
しかしながら、経済産業省・総務省安全管理ガイドラインのこうしたリスクコミュニケーションの重要性はあまり正しく理解されておらず、浸透していない状況が見受けられる。
上記の経緯のもと、今回、医療ISACでは、株式会社Box Japanの情報提供の協力のもとで、Box Japanが提供するSaaSサービスを用いることで、国内の医療機関固有の業務特性に伴う構造的なセキュリティ上の課題にどのような対応が検討できるかについてレポートとしてまとめ、公開する。
構造的なセキュリティ上の課題には、2022年3月に公開した四病院団体協議会加盟病院を対象としたセキュリティアンケート調査結果の内容も一部含めたものとしている。
こうしたレポートを取組事例として発信することはITベンダにとってはコミュニケーション上のヒントになるとともに、医療機関等にとっては自院の課題対応方法をより身近に検討する一助になると考えている。
こうした安全管理ガイドラインにとどまらず、医療機関向けにセキュリティ課題対応をどのように検討すべきかについて踏み込んだ情報提供の取組は未だITベンダには十分に浸透していない状況が見受けられる。
医療ISACに寄せられる相談や悩みからは、安全管理ガイドラインが提供を求める情報項目についてすら提供がされない、あるいはそもそも回答すら行われない状況も存在することが判明しており、こうした状況が少しでも改善に向かうための一石に本レポートがなれば幸いである。
なお、最後に上記取組に共感いただき、様々な技術・運用上の情報提供に協力頂いた株式会社Box Japanに感謝を申し上げる。