人命や健康より利益を優先する欧米型の巨大製薬企業等は別として街の病院などの医療機関は攻撃の対象とすべきではない、などとする昔気質(むかしかたぎ)のサイバー攻撃者も一部には存在するが、サイバー攻撃、特にランサムウェア攻撃の格好の標的として医療機関が狙われる傾向が全世界的に続いている。業務内容的に身代金支払いもやむを得ないという判断になりやすいという推定があるからだ。
たとえばVPN機器の公知の脆弱性がそれらの攻撃の経路となることなどもあるが、ベンダーやSIerにとっては機器やシステムを販売したら終わりであり面倒な運用はやりたくないしやるとしても別契約とせざるをえない。一方で医療機関側は、そもそも購入した機器に購入後に脆弱性などが発見されたり、それがサイバー攻撃に悪用されるなどという知識自体持たない場合すら少なくない。
株式会社グローバルヘルスコンサルティング・ジャパンは1月17日、同社が運営する医療ニュースサイト「Gem Med」にて、日本病院会の相澤孝夫会長によるサイバーセキュリティ対策における医療機関・ベンダー等の間の責任分解についての意見を発表した。
相澤氏は1月17日に行った記者会見で、医療機関のサイバーセキュリティ対策について「どこまでが医療機関の責任で、どこからがシステムベンダーや機器メーカーなどの責任なのか」を明確化する(責任分解)ことが極めて重要なテーマとなっていると発言、アップデートを誰が行うのかがなどを明確にしなければ十分な対応が行えず、さらに被害が発生した際にも損害をどのような負担割合で賠償するのかを決めることも難しくなると指摘している。
責任分解について、医療機関とシステムベンダーや機器メーカーなどの個別交渉に委ねることは、両者の力関係で一方が不利益を被ることもある可能性もあるため、当事者の交渉に委ねるのではなく国が統一した指針などを設けるべきではないかとの考えで日本病院会幹部は一致しているとのこと。
サイバーセキュリティに関する責任分解については、2023年2月中にも厚生労働省に対し申し入れを行う考えを相澤氏は示している。
![富士通「Smart City 5G」等ソースコード流出か/長江メモリがエンティティリスト入り/検索エンジン悪用攻撃 FBI 警告 ほか [Scan PREMIUM Monthly Executive Summary 2022年12月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/40276.jpg)
