セキュリティ担当に年収3000万 「事務員扱い」の日本とは違う、米国病院の人材獲得法：医療×セキュリティの未来を考える

日本の病院がセキュリティ後進国である理由は“予算がない”だけではない。米国ではIT投資が収益に直結し、IT・セキュリティ人材には年収3000万円超が当たり前。一方、日本は政治も制度も医療現場も「本気になれない」構造にとどまったまま。この差はなぜ生まれたのか――。

[田渕聖人，ITmedia]

　日本の病院におけるサイバーセキュリティ対策の遅れは、その業界の特殊な構造に起因している。連載第3回となる今回は、医療IT先進国である米国と日本の病院の違いを市場原理や法制度、人材構造などから明らかにする。

米国の病院が投資予算を確保できるワケ　日本の病院と徹底比較

――米国の病院でIT・セキュリティ投資が進んでいる理由を教えてください。

医療サイバーセキュリティ協議会の若村友行氏（理事）（筆者撮影）

若村氏：　米国の医療機関を取り巻く環境の最大の特徴は、サイバーセキュリティを含むIT投資に対するインセンティブ（動機付け）が極めて明確である点です。その背景には「競争優位性」と「法的な強制力」の2つがあります。

　日本の病院の多くが公的医療保険制度の中で運営されているのに対し、米国では基本的に自由競争・民間主導の市場原理が強く働いています。米国では患者さんのデータは「患者のもの」という価値観があります。そのため彼らは病院や医師を自由に選び、自分の医療データを持ち込みます。

　つまり、遠隔医療が受けられることや、電子カルテの利便性、データ連携のスムーズさなどは、患者さんを獲得するための重要な差別化要因であり、優れたITシステムは直接的に「収益」につながります。ITが遅れていたり、セキュリティインシデントによって情報漏えいが起きて信用を失ったりすれば、患者さんが離れて「減収」に直結します。

　日本は公的医療保険制度の中で、良くも悪くも守られています。一方、米国ではお金を払える人がそのお金に見合った医療を受けるという自由診療が中心です。経済的・物理的に医療へのアクセス自体にハードルがあるため、病院側も治療を受けられる患者さんを呼び込むためにアプリ開発やセキュリティ、マーケティング、ブランディングにも投資する意義を明確に感じています。

米国の医療機関メイヨークリニックは競合との差別化を図るために、アプリを開発したり、ソーシャルメディアやWebマーケティングに力を入れたりしている（出典：メイヨークリニックのWebサイト）

――日本ではデータは「医者のもの」ですから対照的です。ただ、なんだか病院が利益を追求するところに違和感がありますね。日本の非営利病院は診療報酬だけでやりくりし、赤字になりがちです。米国の病院はそもそも営利なのでしょうか。

若村氏：　米国の医療機関も多くは非営利として運営されていますが、日本のそれとは背景が大きく異なります。米国の非営利病院は、キリスト教文化を背景とした実業家や寄付者からの定常的かつ多額の「寄付」によって潤沢な資金を得ています。ビジネスで成功した人が財を成せば医療や福祉にお金を回そうという文化があるため、多額の寄付が集まります。

　日本の非営利病院が診療報酬のみで運営している点と比べると、この「寄付があるかどうか」という差が、IT投資の資金源として非常に大きいのです。さらに、米国の病院は多くの場合、法人税や土地税などが免税となる税制優遇を受けている点も、日本の医療法人が非営利でありながら法人税を課税されている点と対照的です。この潤沢な資金源と税制優遇が、セキュリティを含むIT投資を可能にする基盤となっています。

米国の病院にはなぜIT・セキュリティ人材がしっかり集まるのか？

――「競争優位性」という観点から派生しますが、米国の医療機関の経営層はITやセキュリティ人材をどのように位置付けているのでしょうか。

若村氏：　米国の医療機関は非営利であっても極めてビジネス意識が強く、大きな病院グループを形成して利益を上げています。特に営利病院ではMBAなどを持つ経営のプロがトップを務めます。非営利病院においても寄付を有効活用し、いかに効率的で質の高い医療を提供して競争力を維持するかという意識が徹底されています。そのため米国の病院はDX推進に向けて、高報酬と高い地位を約束してIT・セキュリティ人材を積極的に採用しています。

　例えばCMIO（Chief Medical Information Officer：医療情報管理責任者）という専門職があることは、日本の病院におけるIT人材の地位との大きな違いです。CMIOは、CIO（最高情報責任者）やCISO（最高情報セキュリティ責任者）と並ぶ「C」クラスの役職者として、経営層に位置付けられます。

　CMIOは基本的に医師ですが、医療情報学のトレーニングと実践経験を積んだ専門家です。彼らは医療を理解した上で、医療システムの施策として何をすべきかを指示します。2012年のCMIOサーベイによると、その60％が年俸20万ドル（約3000万円以上）を得ており、現在も右肩上がりで報酬が増加しています。

CMIOの責務（出典：フォーティネットジャパンの提供資料）

――米国の病院では彼らを「重要な専門家」として明確に価値を認め、適切な報酬を払う文化があるんですね。日本における病院の医療情報部の職員が一般事務扱いであることと比べると、この報酬と地位の差は優秀な人材の確保と内製化の点で決定的な違いを生みそうです。

若村氏：　やはりデジタル化、セキュリティ投資を追求できるというのは日本の病院にはない大きな魅力です。高い報酬を支払えれば、アプリ開発者やセキュリティ部隊といったIT・セキュリティ人材が集まってきますし、人材を院内で育成する余裕も生まれます。

　少し視点は変わりますが、医師や薬剤師が病院だけでなくITベンダーやコンサルティング企業のヘルスケアチームで働くなど、「医師＝病院で働く」というキャリアパスに縛られず、専門性を生かせる市場ができていることも強みです。

医療機関のやるべきことを“明確化”　具体的な道筋を提示

――次に「法的な強制力」についてお聞きします。医療機関のIT・セキュリティにまつわる法制度などについて教えてください。

若村氏：　米国では「HIPAA」（Health Insurance Portability and Accountability Act）が非常に強制力を持っています。これは医療情報保護に特化した法律で、違反に対する罰則が厳格に定められています。大規模なデータ漏えいが発生すれば、数百万ドル、場合によっては数千万ドル規模の罰金が課せられる可能性があります。この膨大な罰金リスクは日本の医療機関に対する「指導」や「注意喚起」とは比較にならないほどの強制力として働いています。

　ただ、HIPAAがあっても、現場が何をすべきか分からなければ対策は進みません。米国では、これを助ける具体的な実践手引書として「HICP」（Health Industry Cybersecurity Practices）や、医療分野におけるITの推進と普及を目指す世界的な非営利団体「HIMSS」が出している病院のセキュリティ成熟度を定義するモデル「INFRAM」（Infrastructure Adoption Model）が提供されています。

　INFRAMはインフラの成熟度をレベル0から7で定義し、病院のDX目標（例えば遠隔医療の実現）に対し、現在のセキュリティレベルが不足している場合、目標達成に必要な具体的な投資やロードマップを経営層に提示するための戦略アドバイザー的なツールとして機能します。

HIMSS INFRAMによるIT・セキュリティのフレームワーク。右は日本語化してフォーティネットが書き直した図（出典：フォーティネットジャパンの提供資料／HIMSS INFRAM）

　国が出したHICPという実践方法と、病院の目標と現在のレベルをひも付けるINFRAMが補完し合うことで、「この目標を達成するために、本年はこの投資が必要だ」という戦略的な意思決定を経営層が下せる仕組みになっているのです。

――リスクファイナンスとしてのサイバー保険の役割も大きいですね。

若村氏：　米国ではサイバー保険の普及率が非常に高く、病院の約50％がサプライチェーンリスクをカバーする保険に加入しています。最近では、保険会社が最低限のセキュリティ基準を満たさないと加入を認めない、あるいは大幅に保険料を値上げするという動きがあります。

　これは、保険会社という民間セクターが、セキュリティ対策を間接的に強制する役割を果たしていることを意味します。米国はINFRAMのようなリファレンスがあるため、保険会社も「どの基準を満たせば保険を提供できるか」というルールを作りやすいのです。

政治家たちの「関心のポイント」が病院のDXを阻んでいる

――米国のサイバーセキュリティ政策が強力に推進される背景には、政治によるトップダウンの動きもあると聞きました。

若村氏：　米国では、HHS（保健福祉省）が主導し、ホワイトハウスが強力にバックアップしています。これは中国やロシアなどからのサイバー攻撃に対する国家安全保障上の危機感が背景にあり、バイデン政権下では、医療セクターで自発的なサイバーセキュリティのパフォーマンス目標を設定し、HHSが管理するというゴールと指標を明確に設定しました。

　寄付文化で医療機関を守る意識があることや、病院がセキュリティ投資および対策の実行力を持っていること、また、サイバー攻撃を受けているという事実に対し、国家として「やらなければならない」という強い危機意識があるのです。

――一方、日本の政策が遅れる背景には、政治的・構造的な要因があると。

若村氏：　日本の政策はアプリやシステムに関心が高い、つまり政策は票に結び付く「マイナポータルで健康保険データを見れますよ」という点には関心を示しますが、それを実装するためにセキュリティをきちんとしないといけないというインフラ部分には関心がまだまだ薄いと感じています。

　また、日本の医師会などの業界団体は、医療機関の収益改善へ注力し、病院やクリニックのセキュリティインフラについては人材不足もあり、関心事の優先順位が後回しになってしまう構造があると考えます。

日本の病院がマネすべきは「リファレンス」と「戦略」

――ここまで米国の構造を見てきましたが、米国の対策は進んでいるように見えて、2023年の米国のレポートでは、MFAの完全導入や脆弱（ぜいじゃく）性管理が不十分など、「すごくない」という実態も明らかになりました。日本がこの米国の実態と仕組みの中で参考にできる現実的な策は何でしょうか。

若村氏：　米国でもトップ層以外の病院では、セキュリティ課題感は日本と変わらず、無法地帯の病院も存在するという現実はあります。しかし課題が明らかになれば、着実にアクションする文化は持っています。

　日本がまず取り組むべきは、政府主導かどうかは別として、病院が「セキュリティとしてどこを目指したらいいのか」が分かる具体的なリファレンスやロードマップでしょう。HICPやINFRAMのような具体性を持ったフレームワークが必要です。

　そしてもう一つ重要なのが、これは理想かもしれませんが、ITを活用した差別化とブランディング戦略です。日本の多くの病院は「横一列」の意識が強く、自ら「ここがいい」という差を伝える力が強くありません。しかし、米国のようにソーシャルメディアやアプリを活用し、ITで患者さんの医療へのアクセスを良くするためにセキュリティを強化することをもっとやって欲しいと思います。

――日本の病院の多くは「人が足りないから、これ以上患者に来られても困る」というマインドが、IT投資の意義を感じない最大の要因になっているのかも。

若村氏：　その通りです。日本の患者さんが大病院に行きたいというマインドが、大学病院などの外来をさらに逼迫させています。この構造を変えるためにも、ITとセキュリティを単なるコストではなく、「経営戦略」として捉え直すことが求められます。

――ありがとうございました。

　第4回はこの課題を乗り越えるために、病院が取り組むべき「教育」と「仕組みづくり」について、さらに議論を深掘りする。