「サイバーセキュリティ対策は部分から全体への発想転換が必要」

福岡伸一氏は著書『世界は分けてもわからない』の中で、鼻の移植手術のために鼻を取り出すとしたらどこまで深くえぐりとれば良いかという思考実験を紹介している。鼻と呼ばれる突起物だけでなく、鼻の奥の嗅上皮、嗅上皮のレセプターと神経線維、脳の嗅球、神経細胞群、連動する筋肉や骨や関節の仕組みというように嗅覚という機能を切り出すためには、結局、身体全体を取り出すしかない。部分とは「部分」という名の幻想であると述べている。

医療DXのためのサイバーセキュリティは、医療情報システムとシステム管理者という「部分」の対策で十分というのは幻想である。現在の医療情報システムは、給食など供給系、電子カルテなど基幹系、放射線など医療機器系といったシステムが連携した統合システムである。一部門のセキュリティインシデントが統合システム全体に影響を及ぼす。医療機関のセキュリティインシデントとして、外部事業者等によるミスや不正、職員によるミス、内部不正、外部からの攻撃が報告されており、とりわけ最近では外部からの攻撃が増加している^1）。

このような事態に対応するため、医療情報システムの安全管理ガイドラインや医療機関等におけるサイバーセキュリティ対策の注意喚起が発表され、情報セキュリティ責任者（CISO）等の設置や緊急対応体制（CSIRT等）の整備が要請されている^2）。これらの要請内容を実行することが、医療DX推進の大前提である。

また、保健医療分野におけるセキュリティオペレーションセンターの構築も必要となろう。さらに、現場レベルの医療DX推進には、システムを利用する全職員がITやサイバーセキュリティの基本知識を習得する必要がある。例えば、標的型攻撃を知らない職員が電子メールを利用することは大きなリスクである。

この基本的IT知識を習得するための国家試験として、独立行政法人情報処理推進機構（IPA）が実施するITパスポート試験^3）が注目されている。2022年度には、企業の事務職・営業職など幅広い職種の社会人や学生が25万人以上応募している。

サイバーセキュリティの基本知識の習得には情報セキュリティマネジメント試験^3）も有効である。業務で個人情報を扱う方、業務・管理部門の情報管理担当者、外部委託先の情報セキュリティ評価・確認を行う方すべてにとって、知っておくべき内容がこの試験では出題される。さらにCISOには、情報処理安全確保支援士（登録セキスペ）^3）の資格を取得することが望ましい。少なくとも、登録セキスペの助言を理解し実践できる能力は必須である。

こうした国家試験とは別に、IPAが2023年度に実施する業界別サイバーレジリエンス強化演習^4）は、医療機器や医療情報システムを含むプログラムであり、実践的能力習得に有効である。このように、医療DX推進のためには、各人が業務に関連するセキュリティ対策を実践する能力を身につけるプラス・セキュリティが不可欠である。

【文献】

1）厚生労働省:医療情報連携ネットワーク支援Navi、医療機関を取り巻く情報セキュリティ対策の現状.
https://www.mhlw.go.jp/content/10808000/000644753.pdf

2）厚生労働省:医療分野のサイバーセキュリティ対策について.
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html

3）IPA:情報処理技術者試験・情報処理安全確保支援士試験.
https://www.ipa.go.jp/shiken/kubun/list.html

4）IPA:責任者向けプログラム 業界別サイバーレジリエンス強化演習(CyberREX)2023年度.
https://www.ipa.go.jp/jinzai/ics/short-pgm/cyberrex/2023.html

奥村明俊（独立行政法人情報処理推進機構理事、情報処理学会フェロー）［安全管理ガイドライン］［業界別サイバーレジリエンス強化演習］

ご意見・ご感想はこちらより