コロナ禍で増えた医療機関へのサイバー攻撃 患者の生死にも関わる事態に：ウィズコロナ時代のテクノロジー（2/3 ページ）

[小林啓倫，ITmedia]

不足するセキュリティ担当者

　実際に、日本でも医療機関におけるランサムウェアの被害が発生している。2021年10月、徳島県つるぎ町にある町立半田病院に対してランサムウェア攻撃が行われ、電子カルテなどのシステムがダウン。朝日新聞の報道によれば、8万5000人分の患者データも失われ、バックアップまでが被害を受けた。

半田病院の公式Webサイトに掲載中のお知らせ

　同病院は身代金の支払いを拒否し（ランサムウェアへの対応として正しい判断だ）、業務を必要最低限なものに限定。救急や新規患者の受け入れ停止や、手術の延期などの対応を取った。

　並行してシステムの再構築を進めており、22年1月4日に全ての診察を再開すると発表している。脅しに屈せず、金銭的な被害は回避したが、実に2カ月以上にわたって治療行為に影響が出たわけだ。

　こうした現実に起こりうる危機に対し、医療機関も企業と同様のセキュリティ対策を進めるようになっているが、前述の米Ponemon Instituteのアンケートでは、回答者の61％が「ランサムウェアと戦う自信がない」と答えている。この値は、COVID-19発生以前の結果である55％から増加しており、アンケート回答者の主観であるとはいえ、事態が悪化しつつある状況が読み取れる。

　このアンケートでも指摘しているが、病院でセキュリティ対策が進まない原因の一つに、予算や人材不足がある。医療業務の急速なデジタル化に対して、それを構築・管理し、さらにセキュリティを守る知識を持つ体制・スタッフの補充が追い付いていないのである。

　日本医師会総合政策研究機構が実施し、20年6月に発表したサイバーセキュリティ実態調査によれば「サイバーセキュリティ事案への対策予算」の有無について、回答した医療機関のうち「ある」と答えたのは21.1％、「ない」が 53.9％、「わからない」が 25.0％だった。実に半数以上が対策予算を講じていないわけだ。

サイバーセキュリティ事案への対策予算の有無

　「サイバーセキュリティ対策の組織体制」の有無については「専任の担当部門がある」が15.6％、「担当部門はないが、専任の担当者がいる」が14.1％、「専任の担当者はいないが、兼務の担当者がいる」が31.3％、「担当はいない」が 32.8％、「わからない」が6.3％という結果となっている。

サイバーセキュリティ対策の組織体制の有無

　ただ当然ながら、病床数の多い、つまり規模の大きい医療機関ほど体制を整備している状況にあり、病床数200以上の医療機関では「専任の担当部門がある」が38.9％にまで上昇している。とはいえ、企業ではサイバーセキュリティの専任部門・担当者を置くことは常識であり、医療機関の場合は大規模病院でも4割弱しか整備していないことを考えると、まだまだ不十分であると言わざるを得ないだろう。

　さらに同調査では、サイバーセキュリティ対策への不安についても尋ねており、回答は上位から「サイバーセキュリティ対策を学べる場所がない」と「現場担当者の危機意識が薄い」が同率で16.6％、次いで「医療機関にセキュリティ対策を担える人材がいない」が15.6％となっている。

サイバーセキュリティ対策への不安

　企業のセキュリティ対策においても、必要な知識を備えた専門人材が不足し、募集をかけても応募が集まらないことがさまざまな調査から明らかになっているが、医療現場も同様なわけだ。