「勉強するから時間をくれ……」 医療セキュリティ人材がいない、育たない真因：医療×セキュリティの未来を考える

医療機関のセキュリティ対策が進まない要因には業界特有の構造的な課題がある。第2回のテーマは「ヒト」だ。セキュリティ人材が育たず、集まらない根本的な理由を調査データと専門家の証言から読み解く。

[田渕聖人，ITmedia]

　医療業界のセキュリティ発展に向けて、対策が進まない真因を業界構造から考察する本連載。第1回は病院のセキュリティ対策を阻む残酷な「カネ」の問題にフォーカスした。

　第2回となる今回は「ヒト」の問題にフォーカスし、医療業界におけるセキュリティ人材の充足状況や確保・育成が進まない理由、この改善に向けた動きなどを、医療サイバーセキュリティ協議会の若村友行氏（理事／フォーティネットジャパン）と共にひもといていく。医療機関の業界構造に起因する生々しいセキュリティ阻害要因を明らかにしよう。

担当者取りあえず「置いてみた」でもマシ　医療セキュリティの厳しい現実

――今回は医療業界がセキュリティに注力できない理由を「ヒト」の観点から掘り下げます。医療機関におけるセキュリティ人材の充足状況を教えてください。

若村氏：　厚生労働省（厚労省）の「安全な地域医療の継続性確保に資する医療機関における情報セキュリティ人材の育成と配置に関する研究」(2024年5月)で公開されているセキュリティ人材の配置状況に関する調査の実態からお話しします。

セキュリティ人材の配置状況（出典：厚労省「安全な地域医療の継続性確保に資する医療機関における情報セキュリティ人材の育成と配置に関する研究」における研究代表者である武田理宏氏の公開資料）

若村氏：　同調査は地域の病院を含めた643の医療機関から回答を得たものです。医療情報システムの安全管理責任者や情報セキュリティ事案の担当者、有資格者など、責任者や現場担当者が医療機関の規模や機能ごとにどの程度配置されているかを調べています。

――この数字を見ると、多くの医療機関が医療情報システム安全管理責任者や情報セキュリティ事案担当者を配置しているように思えますね。

若村氏：　しかしもう少し細かく見ると違う結果が分かります。こちらは医療情報システム安全管理責任者を配置する医療機関の病床数（ベッド）ごとの数と割合です。病床数が多い、つまり大規模な医療機関ほど医療情報システム安全管理責任者の配置率は高くなっています。

病床数で見た医療情報システム安全管理責任者を配置する医療機関（出典：厚労省「安全な地域医療の継続性確保に資する医療機関における情報セキュリティ人材の育成と配置に関する研究」における研究代表者である武田理宏氏の公開資料）

　逆に病床数が少なくなるに伴い配置率も下がります。399床と400床の間には大きな壁があります。人材不足の面から医療情報を扱う事を医事課が兼務で担うなど組織の規模により情報セキュリティ人材への配備に関する考えの差が出ているのかもしれません。

――399床と400床の間には人材の枯渇という「ヒト」の問題が大きく関係しています。

若村氏：　なお、情報セキュリティ事案の担当者の配置率は管理者よりはハードルが低いというのもあり、400床以下の医療機関でも進んでいます。

病床数で見た医療情報システムの情報セキュリティ事案の担当者を配置する医療機関（出典：厚労省「安全な地域医療の継続性確保に資する医療機関における情報セキュリティ人材の育成と配置に関する研究」における研究代表者である武田理宏氏の公開資料）

――セキュリティ人材の充足状況については分かりましたが、責任者や担当者を配置したからといってそれがセキュリティ強化につながるかというと、また別の問題かと思います。

若村氏：　まさにその通りで、この調査では医療情報システム安全管理責任者の職位や有資格なども調査しています。それによると、医療情報システム安全管理責任者を置く521施設のうち、127施設は院長が、83施設は院長を補佐する立場、73施設は事務部門長、144施設は医療情報システム部門長が担っていました。

医療サイバーセキュリティ協議会の若村友行氏（理事）（筆者撮影）

　医療情報システム安全管理責任者については、院長や医療情報システム部門長が担当するケースが多いようです。やはりシステムを動かしたり、止めたりするのには権限が必要になるため、院内で最も権限を持つ院長がIT・セキュリティスキルはないけど担うというパターンがあるみたいですね。

　そして、同調査によると実際、医療情報システム安全管理責任者のうち上級医療情報技師（※）の資格を保有するのは12人（2％）、医療情報技師が72人（14％）、情報処理安全確保支援士が4人（0.8％）、応用情報技術者10人（2％）、基礎情報技術者が23人（4％）、情報セキュリティマネジメント試験の有資格者が12人（2％）、これらの資格を持っていないのが440人（84％）でした。

（※）医療情報技師は医療情報システムの構築や管理、運用の基礎的な知識と技術を評価する資格。上級医療情報技師は医療情報技師の上位資格で、論文での試験や電子カルテの導入といったプロジェクト参加経験を踏まえ、より実践的な技能や知識の有無に基づいて認定される。

　また、院長や院長を補佐する立場、事務部門長（合計283施設）に限定すると上級医療情報技師の資格を保有しているのは1人（0.3％）、医療情報技師が7人（2％）、情報処理安全確保支援士が2人（0.7％）、応用情報技術者が1人（0.3％）、基礎情報技術者が1人（0.3％）、情報セキュリティマネジメント試験の有資格者が2人（0.7％）、これらの資格を持っていないのが273人（96％）でした。

――医療機関内でのヒエラルキーが高い層となるとやはり資格保有者も大きく減っています。

若村氏：　医療機関で情報セキュリティ対策を講じるためには、セキュリティ対策の方針を策定し、全職員に周知するとともに、セキュリティ対策への投資が必要です。このため医療情報システム安全管理責任者が、経営・運営上の意思決定に関与する立場にあるかどうかは非常に重要です。今回の調査では、医療情報システム安全管理責任者のうち350人（67％）が意思決定に関与する立場であることも分かっています。

――スキルがないというのも問題ですが、権限がないのも困ります。そういう意味では良い結果ともいえますね。

若村氏：　残念ながら権限があっても、スキルや知識がなければセキュリティ対応の実態が伴わないでしょう。医療機関における立場から医療情報システム安全管理責任者となっているが、情報セキュリティに知識が十分でない方が相当数いることが推測されます。セキュリティ人材としてのスキルアップをサポートする教育で業界が底上げされることを期待しています。

　また、情報セキュリティ事案担当者（922人）のうち上級医療情報技師の資格を保有するのは28人（3％）、医療情報技師が257人（28％）、情報処理安全確保支援士が12人（1％）、応用情報技術者52人（6％）、基礎情報技術者が56人（6％）、情報セキュリティマネジメント試験の有資格者が22人（2％）、これらの資格を持っていないのが530人（57％）でした。

　これは医療情報システム安全管理責任者よりは高い割合ですが、半分以上はまだ資格を持っていないため、現場の方もより知識を付けたり、資格を取得したりしてスキルアップをする必要があるでしょう。

「勉強するから金をくれ……」　セキュリティ人材がいない、育たない真因

――セキュリティ人材やスキルがまだまだ足りていないという医療機関の現状が明らかになりました。ではなぜ医療機関はセキュリティ人材を確保・育成できないのでしょうか。

若村氏：　3つの課題があると考えています。1つ目は給与の課題です。簡潔に説明すると、医療機関が支払える給与が低いため他業種からの医療機関へのセキュリティ人材流入が困難という課題。また、セキュリティに関する資格試験を取得するための費用や維持するための費用に対する十分な補助がないというものです。

　「令和 5 年度賃金構造基本統計調査」によると、企業規模が1000人未満に関連する、システムコンサルタント・設計者の平均年収は約684万円、ソフトウェア作成者の平均年収は約557万円でした。一方で企業規模が1000人以上に関連する、システムコンサルタント・設計者の平均年収は約748万円、ソフトウェア作成者の平均年収は約598万円でした。

　病院の医療情報部は、「その他の保険医療従事者」にカテゴライズされると思います。彼らの平均年収は、1000人未満の医療機関では約459万円、1000人以上では約507万円です。これは医師以外の看護師や薬剤師といった医療従事者と比較しても低い数字となります。つまり、一般企業のシステムコンサルタント・設計者、ソフトウェア作成者、その他の情報処理・通信技術者の給与は、医師、歯科医師を除いた医療系専門職よりも高い給与です。医療機関側の人材確保の困難につながっていると、第44回医療情報学連合大会のシンポジウムで指摘があった通り、医療機関の規模感にかかわらずこれらのIT職種が病院にIT人材として外部から参入する可能性が低い給与体系なのです。

――これは医師をトップとする病院独特のヒエラルキーが関係しているのでしょうか？

若村氏：　医業収入を生む職種と比べ、医療情報部の職種は“インフラ寄り”なので成果を生んでも収益に直結しないと見なされる傾向があり、給与の状況は不利な状況にあります。

――民間企業でもしばしば情シスの地位向上が課題となりますが、医療機関も同様ですね。IT業界から医療業界転職は給与の観点からは見合わないのに加え、医療情報部といった部門はそもそも医療従事者と比較して給与が低く設定されており、その価値が低く見積もられている。先ほど出たような資格を持っていても現状では給与という意味では反映されないと。

若村氏：　民間の中でも人材育成に力を入れている企業では、資格の取得に補助やインセンティブが出たり、業務時間中の資格取得に向けた勉強が許可されていたりするところもあります。しかし医療業界では、資格取得が自腹かつ勤務時間外で勉強する必要があるなどとも聞いています。そして、多くの医療従事者は限られた自己研鑽時間の中で、自身の専門性資格の勉強を優先した結果、ITやセキュリティの資格は必然的に後回しになるでしょう。

――これはモチベーションの低下につながりますね。ITやセキュリティに関わる方々に対して業界が明確なキャリアパスを提示できていないのも問題です。

医療システム独自の運用やナレッジが人材育成を鈍化させる

――2つ目の課題は何でしょうか。

若村氏：　2つ目は運用の課題です。医療機関は経済的な理由によって、保守期限の過ぎたOSで稼働するシステムや機器の利用の継続が必要となるケースがあります。このような特殊な環境に置かれた医療情報システムを守るにはセキュリティに関するより深い知識が求められます。

　最近は「CISSMED」（シスメド）のような医療業界のセキュリティについて考えるユーザー会が発足されてナレッジを共有して学び合う場ができていますが、まだまだ草の根的です。私の知る限り、日本医療情報学会のITやセキュリティに関するセミナーにも研究費などで参加できない方々は、自費で参加するなど多くの方が学びの場に足を運んでいます。このような方々の高いモチベーションを損なわないようにしっかりと支援することで、彼らの学べる場を盛り上げていくべきだと思います。

――個人に負担がかからないように仕組みを変えるのが大事だと感じます。3つ目の課題についてはいかがでしょうか。

若村氏：　3つ目は調達の課題です。調達の課題とは端的にいえば電子カルテシステムとそれ以外のシステムの調達や運用、保守に関してです。電子カルテシステムは病院全体で必要とされるため、病院全体の予算で一括調達・運用されています。一方で、部門システムや医療機器はそれぞれの部門ごとの予算で個別に調達されています。

　結果として部門予算の制約があるため、「モノ（機器やシステム）は導入できても、運用や保守の予算が不足」するケースが多い状況が生まれています。また、運用や保守の実務もその部門内でまかなわなければならず、外部支援や専門部署のサポートが受けにくいのです。

　ポイントは運用や保守の実務もその部門内でまかなう必要があるという点です。各部門では、例えば放射線技師や臨床検査技師、医療情報管理士、臨床工学技士などの専門職が、本来の専門業務に加えてIT運用やセキュリティ対応も担当せざるを得ない状況があります。先ほども言いましたが、これらの専門職は、資格維持のための研さんが求められ多忙であるため、セキュリティの学習や対応が後回しになりがちです。

――専任ではない人材はそもそもセキュリティの知識や経験を積む時間が取れないのに加えて、彼らが運用を担うことで、システムや機器のセキュリティ対策が不十分になるリスクがあると。気になったのですが、先ほど出た情報セキュリティ事案の担当者は各部門のシステムの運用や保守を担わないのでしょうか。

若村氏：　情報セキュリティ事案の担当者や医療情報部は、基本的に電子カルテのような病院全体のシステムを対象にしており、部門ごとのシステムまでは手が回らずカバーできません。医療業界には「部門ごとに独立していれば他に影響が出ない」というサイロ化が根付いており、部門システムのセキュリティも各部門の責任というスタンスで運用されるケースが多くなっています。

　しかしサイロ化すれば安全かといわれると決してそうではなく、実際のセキュリティインシデントでは、リモートメンテナンスなど部門システムの入口から攻撃者が侵入することも多いでしょう。電子カルテが被害を受けるのは攻撃の最終段階で、侵入口の多くは各部門が運用しているシステムなのです。

問題は残れどまずは地盤を固めるところから

――これまで医療機関におけるセキュリティ人材の不足や育成の課題を聞いてきましたが改善に向けた動きはあるのでしょうか。

若村氏：　現在、日本医療情報学会が主導して既存人材の活用や医療情報セキュリティ人材が持つべき知識やスキルセットの定義、キャリアパスの構築、教育支援体制の拡充といった取り組みが進められています。

　医師や診療放射線技師、看護師といった既存の医療従事者がITやセキュリティの知識を付けられるように、医療情報セキュリティ人材が持つべき知識やスキルセットを3つのグループに分けて定義しています。

医療情報セキュリティ人材が持つべき知識やスキルセットを3つのグループに分けて定義する（出典：厚労省「安全な地域医療の継続性確保に資する医療機関における情報セキュリティ人材の育成と配置に関する研究」における研究代表者である武田理宏氏の公開資料）

若村氏：　医療機関向けセキュリティ教育支援ポータルサイトといった教育支援体制の拡充も進めているので、こうした支援の基に医療情報セキュリティ人材人材を育成し、医療機関の特性に合わせて配置して同時にキャリアパスも構築していこうという動きですね。

医療情報セキュリティ人材を特性に合わせた医療機関に配置する（出典：厚労省「安全な地域医療の継続性確保に資する医療機関における情報セキュリティ人材の育成と配置に関する研究」における研究代表者である武田理宏氏の公開資料）

医療情報セキュリティ人材のキャリアパス（出典：厚労省「安全な地域医療の継続性確保に資する医療機関における情報セキュリティ人材の育成と配置に関する研究」における研究代表者である武田理宏氏の公開資料）

――業界構造やリソース、給与といった問題は残りつつも、まずは医療機関でセキュリティ人材が育つ基盤を整えていくのはモチベーションを持った人材を取りこぼさないためにも重要な取り組みだと感じます。今後に期待したいですね。ありがとうございました。

　第3回では「日本と海外の医療機関の比較」から医療機関が目指すべきセキュリティ体制のあるべき姿を探っていこう。