12病院が同じ脆弱性でサイバー攻撃被害、厚労省の注意喚起が届かないこれだけの理由：「3ない状態」「ベンダー丸投げ」が不幸な事故に

社会のライフラインとなる医療機関のセキュリティ対策が遅れているのはなぜなのか。クラウド活用などさらなるIT化が進む今、どう対策に乗り出せばよいのか。2023年3月に開催された「Security Days Spring 2023」で医療ISACの深津 博氏が講演した。

[高橋睦美，＠IT]

　サイバーセキュリティの世界では競合する企業や組織の壁を越えた「共助」の取り組みが進んでいる。その中核になっているのが「ISAC」（Information Sharing and Analysis Center）と呼ばれる団体で、情報通信や金融、自動車など複数の業界で結成されてきた。

　医療ISACもそうした組織の一つだ。前身となるメディカルITセキュリティフォーラムとして2014年から活動を開始し、医療機関向けのサイバーセキュリティに関するセミナーやワークショップを実施する他、ワーキンググループ活動も展開してきた。また2019年には米Health-ISACと業務提携を結び、グローバルな活動も開始している。

　その医療ISACの代表理事で、愛知医科大学 医療情報部長・教授の深津 博氏が、2023年3月に開催されたサイバーセキュリティの専門イベント「Security Days Spring 2023」で「医療機関が行うべきサイバーセキュリティ対策2023」と題して講演した。講演時点ではパブリックコメント募集段階にある厚生労働省の「医療情報システムの安全管理ガイドライン 6.0版」のポイントと、関連する経済産業省、総務省のガイドラインとの関係性、そしてベンダーとの関係を中心に医療機関が進めるべき対策の在り方を整理しながら解説した。