ざっくり解説 時々深掘り

マイナンバー健康保険証問題より深刻な医療機関のIT脆弱性問題

Xで投稿をシェア

マイナンバー健康保険証の懸念点の1つは「医療機関から健診データが漏洩する」というものだった。ただし根拠はかなり脆弱なもので、どちらかといえばあまりITに詳しくないマスコミが騒ぎを大きくしていたような側面がある。

ITメディアニュースに「医療団体、ITベンダーに「サイバー被害の一部を負担するべき」と提言 情報提供不足なら契約になくても責任求める」と言う記事が出ていた。この手のニュースがYahoo!ニュースに出てくることはないのだろうが、Feedlyではよく読まれているようだ。サイバー被害の対策費用を誰が出すかで揉めている。放置すれば情報漏洩やシステムダウンのリスクが高まる。

マイナ健康保険証問題よりもずっと深刻な問題が放置されていると感じた。原因は医療機関とIT業界の意識のズレである。特に医療機関の時代錯誤ぶりは目に余るものがある。ただし医療機関の意識を変えるためには抜本的な政策転換が必要だ。おそらく今の日本にはそれほどの危機感はない。

Follow on LinkedIn

コンテンツのリクエストや誤字脱字の報告はこちらまで

|サイトトップ| |国内政治| |国際| |経済|






日本医師会総合政策機構が「医療機関へのサイバー攻撃の事例研究:民間病院・診療所の被害事例に学ぶ」と言うレポートを出している。カバーレターには次のようにまとまっている。要するに政府に対して対策と人材・費用を求めている。医師会は自民党の支持団体なのだから「政府に要求する」のは彼らにとってみれば当然のことなのかもしれない。

  1. 行政間の連携を強化し、専門機関と連携して被害現場を支援すべきこと、
  2. 行政が発信するシステム等の脆弱性情報が医療現場に周知されるまでの流れを再確認すべきこと、
  3. BCP策定や机上訓練、対策チェックリストの充実等の現場の対策支援を強化すべきこと、
  4. 医療機関のセキュリティ対策に関する人材と費用を手当てすべきこと

今回ITメディアニュースの記事はこの総合政策機構がITベンダーに「セキュリティ問題が起きたときには、たとえ契約書に文言がなくてもITベンダーが真摯に対応すべきだ」と言っている。文中に信義誠実の原則という言葉が出てくる。契約書の最後に書かれる「何かあったときにはお互いに良きようにとりはからいましょうね」という日本の契約書にはよく見られる条文である。

この話はパソコンに例えるとわかりやすい。

マイクロソフトに対して「私はWindowsを信頼して買ったがパソコンがウイルスに感染した。マイクロソフトはお客さんの信頼に応えるためにウイルスで被った被害の一部を弁済すべきだ。」などと主張すればおそらくマイクロソフトは「だったらウチのOSを使ってくれなくても結構だ」ということになるはずである。

問題点は3つある。

まず、医師会は政治力に過度な自信を持っている。自分達が要求すれば政治やベンダーは言うことを聞いてくれると信じているようだ。当然自分達の努力で現在のIT環境にキャッチアップしようと言う意思は失われるだろう。一般化すると「競争のない社会主義的な環境でイノベーションが起こらなくなり質の悪い企業や経営者が生き残ってしまう」問題である。

ただマイクロソフトの事例も「そりゃそうだな」と思う人と「いやマイクロソフトはセキュリティに懸念があるOSを売ってはダメだろう」と言う人が出てくるだろう。ITリテラシのないおじさんほどこういうことを言って部下を困らせる。日本はIT教育を怠ってきた。それどころかITを知らない人ほど威張っていると言う不思議な状態になっている。「ITや英語は専門家にやらせればいいんですよ」と嘯(うそぶ)く大人は多い。

最後は(言い方は悪いのだが)ITベンダー側の卑屈さの問題である。客が無茶な注文をしてきた場合、会社の中でグチることはあってもそれを問題化して訴えてゆこうという気概はない。「お客さまは神様」というマインドが心の奥底に刷り込まれてしまっている。このためITメディアニュースは「SNSでは反発の声が広がっている」としている。つまりみんな無茶だと言ってますよと言っているだけなのである。ITベンダー側の政治力のなさや意識の低さもまた問題なのだろう。

当然「ITベンダーはリスクが高すぎて医療関係の仕事は受けなくなる」のだから政府がいくら躍起になっても日本の医療DXは進まなくなる。どっちみち医療機関には競争は働かないので「別にITで特別なことをやらなくてもいいや」と言うことになってしまうからだ。

ただし「今後DX化が進まなければそれでいいのか」ということになる。実はすでにランサムウェアの被害が出ているそうだ。ランサムウェアを仕込めるのだから「盗み見」されたくらいでは気がついていない可能性が高い。

では実際にどんな攻撃が行われているのか。2021年10月には徳島県の拠点病院が攻撃された。電子カルテなどが使えなくなったそうだ。

2022年10月に攻撃を受けた大阪急性期・総合医療センター(大阪市)は当初被害を把握していなかったという。長い間脆弱性にさらされていたことがわかる。この日経新聞の記事には興味深い一節がある。

同法人の深津博代表理事は「セキュリティーの充実は診療報酬に結びつかない。予算は限られ、専門人材の確保や対策ができていない」と指摘。同法人が22年3月に公表した調査では、4割以上が対策予算が不十分と回答した。

経済産業省は対応窓口を作り一定の対策をおこなっている。だが医療機関は「診療報酬を受け取れない作業については費用負担ができないから国かベンダーがなんとかしろ」と言っていることになる。

あまり自由主義的な解決策には頼りたくないのだが「口を開けて食べ物が運ばれてくるのを待っている」ようなマインドセットが温存された状態では、どんなに国が対策メニューを準備しても医療機関のセキュリティ対策が満足ゆく水準になることはないのだろうなと感じる。そもそも医療費の削減は財政正常化にとって極めて大きな課題だがこうした経営努力も行われないだろう。診療報酬は横並びでもらえるのだから「それ以外のことには手を出さない」でいれば一応の経営は成り立つ。

この問題を解決するためには意識改革が遅れた医療機関には「退出」してもらう必要があるということになる。ただし、こうした自由主義的な解決策の元でおそらく最初に被害を受けるのは医療機関に乏しい僻地医療だろう。「もうここにしか手術入院ができる医療拠点がない」と言うところが潰れれば大勢の医療難民が出る。

マイナ健康保険証の問題は「しばらくは紙の健康保険証が取り上げられることはないのだ」という安心感からかワイドショーなどでは過去の話題になっている。ワイドショーの視聴者にとって大切なのは「私の健康保険証がどうなるか」であって、複雑な問題にはあまり興味がなさそうだ。

だが実際には医療機関はITセキュリティ的に極めて重大な脆弱性を抱えているようだ。こうした面倒な問題を政府は放置し続けている。だが抜本的に対策を進めるにはおそらくは医療機関に対する社会主義的な保護という考え方を転換する必要がある。このレベルの強い対策を行うためには政権交代レベルの変化が必要になるだろうが、今の日本にはそこまで強い改革欲求はなく、受け皿になれる政党も育っていない。

コンテンツのリクエストや誤字脱字の報告はこちらまで