2019.12.02
AI(人工知能)やIoT(モノのインターネット)などの技術革新は、医療分野でも応用できるとして、期待する声が高まっています。さらに、地域医療の連携が進むほか、在宅医療などで用いるモバイルデバイスなどの普及により、医療分野でのサイバーセキュリティの重要性が叫ばれるようになっています。
ここ数年、国内外の医療機関では、電子カルテなどのネットワークに対する不正アクセスや悪意のあるウイルスやランサムウェアなどによる攻撃により、「患者の情報・病歴の外部流出・消失」などがすでに起こっています。また、治療用デバイスであるペースメーカーやインスリンポンプについても、無線機能などの脆弱性などが指摘されており、電流の停止や、インスリンの投与量の操作が可能になるとの「研究結果」も示されています。
●後手に回る国、医療機関、メーカー
医療機器業界は、医療分野でのサイバーアタックの危険性に警鐘を鳴らしています。今年5月に開かれた、政府の健康・医療戦略参与会合でも、上記のようなサイバーアタックの脅威を指摘。現状について、①国の各種ガイドライン(GL)が、現場の利便性に即していない②ライフサイクルの長いデバイスのセキュリティ対策・保守が追い付かない③医療機関に専門家と対策費用がなく、さらにセキュリティ意識が低い―との課題を列挙。そのうえで、国に対しては、金融機関のサイバーセキュリティ情報や対応策を共有する「ISAC」の医療版の創設を要求。さらに、医療機器メーカーやITベンダーには、セキュリティパッチの随時更新などの対応を、医療機関には、自院がどれだけサイバーアタックに脆弱であるか、外部からの簡易調査の受審を、それぞれ講じるよう提言しました。
●医療機関でのサイバーアタックの脅威が高まる
国がGLを、現場が使いやすい形で見直すこと、医療機器メーカーの製品改良については、それぞれが自覚して粛々と進めてもらうということでしょう。一番の問題は、患者の治療を生業とする医療機関で、万全のセキュリティ対策を講じるという点になります。
特に国内の病院では、厳しさを増す経営状況の中、セキュリティに精通した専門家の採用や、対策に講じる費用の捻出などの問題を抱えており、簡単に対策を打ち出すことはできません。インターネットのセキュリティ対策を手掛ける会社の2017年調査によると、医療機関の機器などのIPアドレス(位置情報)などが、インターネット上で「露出」しているかの国別ランキングで、日本は3位にランクインしたということです。
●パスワード(PW)の随時変更やUSB使用を控えるなど、まずは身近な対策から
医療機関で、セキュリティ対策専門家を雇えない現在、医療現場で働く皆さんができることはというと、ネットワーク環境につながる機器のID、パスワード(PW)を公共の場に露出せず、頻繁に変更する、システムのOSやセキュリティソフトを最新のものにする、外部の機器(USBメモリ)などを使わないといったことです。こうした基礎的な対策をないがしろにすることで、不正アクセスやウイルス感染を起こすケースは少なくないそうです。
医療分野でのサイバーアタックは、病歴情報の流出や、制御不能なデバイスによる致死的攻撃など、その影響は大きく、「問題が起きてからでは遅い」。医療現場で万全の対策を講じるため、対策費用の在り方も含めて、官民でしっかりと議論する場を設けるべきでしょう。
【MEジャーナル 半田 良太】