2022-03-28

【続発する「ランサムウェア」の被害】病院は「サイバー攻撃」にどう備えるべきか?



病院経営のあり方を見直すきっかけに


 ─ 管理責任は病院にありますから、経営課題として捉えて取り組む必要がありますね。

 川添 さらに、先ほどのガイドラインの第6章にも書いてありますが、何かがあった時の連絡先、相談先を明確に把握しておくことも大事です。

 また、電子カルテシステムを復旧させる際には電子カルテベンダー、被害調査の相談はセキュリティベンダーに相談するといった形で、平時からこれらの連絡先を常に把握して関係を構築していくことが大事です。誰が、どのタイミングで監督官庁や専門会社に相談したらいいのかということも、先程のセキュリティポリシーの策定の中に盛り込んでいた方がいいと思います。

 そして対外発表です。どのようなタイミング、形式で対外発表をするかは非常に重要です。サイバー攻撃の被害を受けた時には警察署への連絡も必要になり、サイバー犯罪調査が入ります。ですから、下手に発表をしてしまうと捜査に支障をきたす場合があり、発表を控えなければいけないケースもあるんです。

 拙速に対外発表をしてしまったことによって、ハッカー集団に知れ渡ってしまうと、サイバー攻撃が成功したと受け取られてしまうこともあり得ます。ですから、対外発表については慎重に考えた方がいいでしょう。

 そして最後の備えです。病院経営トップが職員に対して注意喚起とセキュリティ教育を継続的に行うことですが、これが多くの場合できていないのが実情です。

 ─ やはりトップの意識が重要だということですね。ただ、病院、医療法人の場合には、医師が理事長であることが多いわけですが、経営上の観点でサイバー攻撃やITの問題を考えると、医療のトップと経営のトップとはある程度分けて、病院経営全体を見る立場の人が必要ではないかと思いますが、この点はいかがでしょうか。

 川添 おっしゃる通りですね。病院では日々、医療アクシデントはそこまで多くありませんが、医療インシデント(重大な事件・事故に発展する可能性を持つ出来事)は起きているはずです。例えば、注射の打ち間違い、患者さんの取り違え、誤投薬、患者さんの転倒・転落などは日常茶飯事ではないかと思います。

 病院経営者としては今後、情報セキュリティインシデントも、きちんと重大インシデントとして捉えていく必要があります。その意味で、今のサイバー攻撃の頻発は病院経営のあり方、考え方を根本的に見直す1つのきっかけと言えます。

都市部の先進的取り組みが地方に波及する


 ─ ところで、川添さんが医療向けのセキュリティ関連事業で起業しようと考えたきっかけは何ですか。

 川添 私はこれまで、病院でのシステム管理や経営企画の担当として勤務してきた経験がありますが、その中で感じたのは、院内の業務にはどうしてもアナログな部分が多いということです。それをデジタルの力で変えていきたいという思いを抱き、起業したという経緯です。

 実は、半田病院さんのケースに関しては、今回お話したサイバー攻撃への備えについて、昨年10月にフェイスブックを通して啓発をしていたんです。その数日後に、半田病院さんが被害に遭われたというニュースが出てきたので、非常に残念に思っていたんです。

 事件以降、お問い合わせをいただくことも増えましたが、微力ながら、サイバー攻撃の被害を減らすためのお手伝いをしていきたいと思っています。「備えあれば患いなし」ですね。

Pick up注目の記事

Related関連記事

Ranking人気記事