「統一方針 国が示せ」日本病院会 相澤会長 ~ 医療機関とITベンダの責任範囲について見解 | ScanNetSecurity
2023.02.03(金)

「統一方針 国が示せ」日本病院会 相澤会長 ~ 医療機関とITベンダの責任範囲について見解

 株式会社グローバルヘルスコンサルティング・ジャパンは1月17日、同社が運営する医療ニュースサイト「Gem Med」にて、日本病院会の相澤孝夫会長によるサイバーセキュリティ対策における医療機関・ベンダー等の間の責任分解についての意見を発表した。

製品・サービス・業界動向 業界動向

 人命や健康より利益を優先する欧米型の巨大製薬企業等は別として街の病院などの医療機関は攻撃の対象とすべきではない、などとする昔気質(むかしかたぎ)のサイバー攻撃者も一部には存在するが、サイバー攻撃、特にランサムウェア攻撃の格好の標的として医療機関が狙われる傾向が全世界的に続いている。業務内容的に身代金支払いもやむを得ないという判断になりやすいという推定があるからだ。

 たとえばVPN機器の公知の脆弱性がそれらの攻撃の経路となることなどもあるが、ベンダーやSIerにとっては機器やシステムを販売したら終わりであり面倒な運用はやりたくないしやるとしても別契約とせざるをえない。一方で医療機関側は、そもそも購入した機器に購入後に脆弱性などが発見されたり、それがサイバー攻撃に悪用されるなどという知識自体持たない場合すら少なくない。

 株式会社グローバルヘルスコンサルティング・ジャパンは1月17日、同社が運営する医療ニュースサイト「Gem Med」にて、日本病院会の相澤孝夫会長によるサイバーセキュリティ対策における医療機関・ベンダー等の間の責任分解についての意見を発表した。

 相澤氏は1月17日に行った記者会見で、医療機関のサイバーセキュリティ対策について「どこまでが医療機関の責任で、どこからがシステムベンダーや機器メーカーなどの責任なのか」を明確化する(責任分解)ことが極めて重要なテーマとなっていると発言、アップデートを誰が行うのかがなどを明確にしなければ十分な対応が行えず、さらに被害が発生した際にも損害をどのような負担割合で賠償するのかを決めることも難しくなると指摘している。

 責任分解について、医療機関とシステムベンダーや機器メーカーなどの個別交渉に委ねることは、両者の力関係で一方が不利益を被ることもある可能性もあるため、当事者の交渉に委ねるのではなく国が統一した指針などを設けるべきではないかとの考えで日本病院会幹部は一致しているとのこと。

 サイバーセキュリティに関する責任分解については、2023年2月中にも厚生労働省に対し申し入れを行う考えを相澤氏は示している。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×