サイバーセキュリティを病院の「経営戦略課題」に

　─　医療機関のサイバー攻撃への備えは十分とは言えない状況だと思いますが、「いつでも攻撃を受ける可能性がある」という意識が大事ですね。

　川添　ええ。全医療機関にぜひ実行していただきたいのが、先ほどお話したサイバーセキュリティを、病院の「経営戦略課題」として盛り込むことです。

　正直に申し上げて、病院は一般企業と比較して、ITリテラシーや院内ガバナンスが少し遅れている面があります。ですから、ここでサイバーセキュリティを病院の経営戦略上の課題と位置付けて手を打っていかないと、今後も被害病院が後を絶たないことになります。

　─　半田病院の教訓の一つだと思いますが、サイバー攻撃に備える上で、病院のデータのバックアップ体制はどのように構築すべきだと考えていますか。

　川添　データのバックアップ運用には「321ルール」というものがあります。第1に「データはコピーして3つ持つ」（二重にバックアップを取る）、第2に「2種類のメディアでバックアップを保存する」、第3に「バックアップのうち1つは違う場所で保管する」というものになります。

　これは状況から見た推測ですが、半田病院さんではバックアップサーバーにオンライン上でバックアップを取っておられたと思いますが、オフラインでのバックアップを取っていなかった可能性が考えられます。

　オフラインでバックアップする場合、「LTO」（Linear Tape-Open）というコンピューター用のデータ保存磁気テープ媒体があります。50年以上、性能が劣化しないとされ、長期保管が可能ですが、半田病院さんはデータ復旧に2カ月強かかっていますから、LTOでの世代管理を含めたバックアップをしていなかった可能性が高い。

　─　ハッカー集団側から見ると、対象がオフラインでバックアップを取っていないといったことはわかるわけですか。

　川添　わかります。先ほど申し上げたように、一度侵入して内部を調査した上で攻撃を仕掛けてきますから、対象の準備状況がわかっているわけです。

　さらなる備えとしては「補償」、つまり「サイバーリスク保険」です。東京海上日動火災など、大手損害保険会社で取り扱いがあり、大企業を中心に加入が進んでいますが、今後病院としても加入を検討していく必要があると思います。

　補償の内容としては、実際にサイバー攻撃などで事故となった時の賠償責任保険、事故が発生した際の対応費用、攻撃によって診療が停止してしまった場合の利益や営業をするための費用など、包括してカバーしてくれる保険となっています。

　大事なのは、対策を業者任せ、ベンダー任せにしないことです。業者任せにしたままサイバー攻撃の被害に遭うと、まず病院の医療サービスが低下し、医業収益の被害を受け、その結果地域医療が混乱してしまいます。