「予算がない」はもう言い訳にならない 医療DXで変わるセキュリティの力学：医療×セキュリティの未来を考える（2/2 ページ）

[田渕聖人，ITmedia]

医療機関のセキュリティ人材育成に向けた秘策とは？

――仕組みやルールの整備が進む一方で、それを扱う「人」の課題も残ります。第2回で「人材がいない」というお話がありましたが、今いる人材の練度を上げるための取り組みについて教えてください。

若村氏：　どれだけ堅牢（けんろう）な「関所」を作っても、最後に門を開けてしまうのは人間です。しかし病院のスタッフに「セキュリティの重要性を理解せよ」と座学で教えても、なかなか腹落ちしません。そこでMedCSCでは、3つのツールを開発し、現場への普及を図っています。

　「HCARE Dashboard」と名付けたツールに搭載した医療機関の成熟度診断ツールが1つ目です。厚労省のガイドラインやNIST（米国立標準技術研究所）のフレームワークを学習させたAIに、自施設の状況を入力すると、5段階評価で現在のレベルと改善点をフィードバックします。

HCARE Dashboardの画面イメージ（出典：MedCSC）

　同ツールには2つ目の生成AIを使ったインシデント対応シミュレータもあります。これは個人向けのトレーニングツールです。ゲームのようなインタフェースで、自分がセキュリティ担当者になったつもりで、ランサムウェア被害の中で次々に起こるトラブルに対処するものです。画面には「予算」「患者への影響」「システムの安定性」といったステータスバーが表示されます。訓練を通じて組織のインシデント対応能力をチェックできます。

インシデント対応シミュレータの画面イメージ（出典：MedCSC）

　シナリオの例ですが、「特定のPCで動作が遅延している」という初期報告から始まります。プレイヤーには「注意喚起メールを送る」「詳細ログを取得する」「ネットワークから切り離す」といった選択肢が提示され、それぞれに数万円から数百万円の「仮想コスト」がかかります。インシデント対応とコストを勘案してベストプラクティスを学べるようになります

　3つ目は医療機関向けのサイバーセキュリティシミュレーターです。これは医療機関用の教育用ツールで、電子カルテや検査システム、ネットワークなど実際の病院の情報システム構成を再現し、サイバー攻撃や障害発生時に「誰が・何を・どの順で」判断すべきかを多職種で体験学習できます。医療現場ならではの事象をシナリオに組み込んでおり、座学だけでは得られない実践的な学びが特徴です。既に幾つかの病院ではテストプレイしてもらっています。

　病院にはBCP（事業継続計画）のマニュアルが必ずありますが、実際にインシデントが起きたとき、誰が院長に報告し、誰が厚労省に連絡し、誰がベンダーと交渉するのか。その「役割分担」ができないと対応はうまく機能しないことが、大阪急性期医療センターなどの過去の事例でも明らかになっています。このシミュレーターを通じて、自分の病院の「どこに穴があるのか」を、インシデントが起きる前に疑似的に体験してもらう。それが、高価な人材を外部から雇えない現状における、現実的な底上げ策だと考えています。

医療DX加算はセキュリティを構造的に変える「最後のピース」

――ここまで「国の補助金によるインフラ整備」と「AIによる人材教育」という2つの解決策を見てきました。しかしこれらを持続可能なものにするためには、やはり継続的な「運営資金」が必要です。医療DXでの診療報酬の加算には、その可能性があるのでしょうか。

若村氏：　医療情報取得加算・医療DX推進体制整備加算を廃止し、診療録管理体制加算におけるサイバーセキュリティ対策要件を見直した上で、初診料、再診料、入院料の加算として新設された「電子的診療情報連携体制整備加算」は、医療機関のサイバーセキュリティを構造的に変える「最後のピース」になり得ると期待しています。例えば、ある大学病院が試算したところ、今回の医療DXに関連する診療報酬改定によって、年間で2500万程度の増収が見込める話も聞いています。

　補助金は一度きりですが、診療報酬は「毎月入ってくるストック」の予算です。これまでは「セキュリティにお金を払うという項目がない」ことが、事務方や経営層への説明を難しくしていました。しかし診療報酬の整備加算では、「特定の体制・機能を維持している限り払うこと」の加算のため、ITインフラ・運用体制が整っていることと置き換え、サイバーセキュリティ対策費用として、「病院の経営努力によって得られる原資」が明確になれば、その一部を高度な専門人材の雇用の委託費に充てることが正当化されます。

　これまでの連載でも指摘した通り、病院の経営層は「治療に直結しないもの」には1円も出したくないのが本音です。しかしDXによって利便性が上がり、同時に経営も安定し、その安全を確保するのがセキュリティであるというストーリーがつながれば、ようやく投資が始まるでしょう。

　そのために医療機関はまず、自分たちのネットワークの棚卸しをしてほしいと思います。その意味で外部接続点の集約は、国からお金が出る今こそ絶好のチャンスです。ベンダーに「現状の構成図を出してください」と言い、不明な経路を一つずつつぶす。そして、AIツールなどを使って組織全体の練度を上げる。こうした地道な作業を、DX予算という燃料を使って回すのが大事です。

――最後に医療機関だけでなく、ITベンダーや行政も含めた関係者へのメッセージをお願いします。

若村氏：　サイバー攻撃はたまたま今、医療機関を狙っているに過ぎません。しかしこの危機は医療業界が抱えてきた「不透明な契約」「属人的な運用」「インフラ軽視」という膿を出し切るチャンスでもあります。EDR（エンドポイント脅威検知・対処）を入れれば解決する、補助金をもらえば解決する、といった「魔法のつえ」は存在しません。自分たちのネットワークがどうなっているかを把握し、コントロールを取り戻すという「当たり前のこと」を主体的にする。その主体性こそが、患者の命を守る最強の防御壁になるはずです。

――ありがとうございました。

〜連載を終えて〜

全4回にわたる本連載を通じて見えてきたのは、医療サイバーセキュリティという問題の正体が、実は「IT技術の欠如」ではなく、長い間放置されてきた「医療特有のガバナンス構造のゆがみ」そのものだったということだ。

これまで触れてきたIT・セキュリティ予算の軽視や人材の枯渇は個別の病院の不手際ではなく、日本の医療業界の構造そのものが内包していた脆弱性だった。病院は「利益を上げてはいけない」という社会的制約と、「常に最新の高度医療機器を導入せよ」という圧力の板挟みになり、目に見えないネットワークインフラを「コスト削減の聖域」として削り続けてきたのだ。

今回の取材で若村氏は「標準モデル」と「DX加算」「訓練（AI教育）」という根深い業界構造への解決策を示した。特に診療報酬という形で継続的な財源が確保できたことは、セキュリティ対策を一過性のものから、持続可能なものへと昇華させるための極めて重要な一歩だ。

こうしたチャンスが訪れた今、医療機関に求められているのは最新のセキュリティ製品を導入することではない。自分たちがどのような契約を結び、どのようなネットワークを運用し、万が一の際に誰が責任を持って決断するのかという「ガバナンスの正常化」である。

この他、ITベンダーは医療機関の知識のなさに付け込んだ囲い込みを止め、標準化に向けて自社のサービスを適応させるべきだ。国は補助金という一時しのぎではなく、セキュリティ維持を診療報酬の体系に恒久的に組み込む覚悟を持ってほしい。そして病院経営層はサイバーセキュリティをIT部門の仕事ではなく、患者の安全を守るためのBCPとして再定義する必要がある。

医療×セキュリティの未来は、病院やITベンダー、国がいかに「当事者意識」を持てるかどうかにかかっていると感じた。（田渕）