2025 年 45 巻 2 号 p. 71-75
医療機関がサイバー攻撃の標的となる事例が続いているなかにおいて,長期間の診療停止により,患者の命を脅かす,地域医療の崩壊を招く,医療機関の財務状況を悪化させる事態にならないよう,サイバーセキュリティ確保のための取り組みが求められている.
組織がサイバーセキュリティを確保するためには,NIST Cyber Security Framework (CSF)において提案されているように,特定(Identify)・防御(Protect)・検知(Detect)・対応(Respond)・復旧(Recover)そしてガバナンス(Govern)の多様な観点からの対応を,医療機関の特性や経営資源などを考慮しながら,バランスよく行っていかなければならない.しかし,医療機関のサイバー防御態勢を強化するにあたり必要となるヒト・モノ・カネ・情報のすべての経営資源が不十分であり,特に医療機関におけるセキュリティ人材の育成・配置は喫緊の課題である.
2023年(令和5年)の医療法施行規則の改正により,医療機関の管理者はサイバーセキュリティを確保するための必要な措置を講じることが新たに義務づけられた.また,医療情報システムの安全管理に関するガイドライン第6.0版が策定され,特に優先的に取り組むべき事項について,厚生労働省からチェックリストが公開されており,その対応が求められているところである.医療機関は,これまでのような最低限の対応ではなく,ベストプラクティスとしての必要条件と十分条件を満たすような対応を行っていかなければならない.このような対応を行っていくためには,医療機関の医療情報担当者同士での経験や実績に基づくノウハウの共有や議論といったコミュニケーションが重要である.本シンポジウムでは,医療機関の医療情報ならびにサイバーセキュリティに関する担当者の集まりであるCISSMED(シスメド)のなかで議論された,具体的な事例などの紹介とともに,医療機関におけるサイバーセキュリティインシデントやそれによる損害を未然に防ぐために必要な人材育成と情報共有のあり方について議論する.
本セッションでは,医療機関が効率的かつ効果的に防御態勢を整えるために必要となる,情報共有の今後の取り組みについて検討を行う.