医療機関におけるサイバーセキュリティの現状とその対応策 ブックマークが追加されました
日本に対するサイバー攻撃数の増加、医療DXによる医療情報の電子上での取り扱い機会の増加などの医療業界を取り巻く様々なサイバーリスク変化に対応するため、各医療機関は組織横断的な医療サイバーリスク管理体制を構築する必要があります。
本稿では、医療業界のサイバーセキュリティを取り巻く現状および課題、医療サイバーリスク管理体制において重要な役割を果たす”医療サイバー人材”について解説します。
昨今、医療機関においてサイバー攻撃により医療サービスを一時停止する深刻なインシデントが相次いで発生しています。*1,2
これらのインシデント発生要因としては、日本の地政学的な外部環境変化によるサイバー攻撃数の増加*3に加え、医療機関の内部環境変化によるサイバーリスクの高まりも挙げられます。例えば、電子カルテをはじめとする医療情報システム上での情報取り扱い機会の増加*4によりインシデント発生時における影響範囲が拡大しています。また、外部ベンダーが機器の運用・保守を目的としてVPN経由で医療機関の内部ネットワークへ接続するなど、外部ネットワークとの接続点が想定外に設けられる機会が増えています。したがって、これまでの「閉域網を前提とするサイバーセキュリティ対策」では、サイバー攻撃のリスクに対して十分な低減効果が望めないのが現状です。
このような環境変化・背景を受け、厚生労働省は「医療法施行規則の一部を改正する省令(令和5年厚生労働省令第20号)」の施行および「医療情報システムの安全管理に関するガイドライン第6.0版」の改定を実施しました。それにより医療機関ではサイバーリスク対応およびサプライチェーンマネジメントを含めたサイバーセキュリティガバナンス構築が求められるようになりました。*5, 6
各医療機関においては、「サイバーセキュリティ環境変化に対応し得る組織体制整備」を含めたサイバーセキュリティ対策への取り組みが急務となっています。
サイバーリスク対応推進に際しては医療機関の経営層・管理層・運用層における各役割と責任に応じて下図で示すアクションが要求されます。しかしながら実施における障壁が存在し、それらを適切に実現できていない現状があります。*7
これら障壁(課題)の中でも、医療ワークフローおよびサイバーセキュリティ双方の知識を有する「医療サイバー人材」の不足が、特に深刻であると考えられます。医療機関経営において医療サービスの継続は非常に重要であり、サイバー攻撃により医療サービスの継続が毀損されるリスクに対処する必要があります。そのため医療機関におけるサイバーセキュリティ人材には、サイバーセキュリティの知識に加え医療ワークフローに対する十分な理解が求められます。
しかしながら我が国におけるサイバー人材は医療業界に限らず恒常的に不足しており*8、その確保は容易ではありません。医療サイバー人材の「医療機関内部での人材育成」についても、大前提として医療機関全体としての人材不足が慢性化しており、医療機関内部における医療サイバー人材への知見習得機会の創出が困難な現実があります。経営層においてもサイバーセキュリティ施策への理解・推進モチベーションに課題があり、結果として人材育成戦略が立案できないなどの理由により、実施が難しいことも想定されます。*7
人材不足へのクイックな対応策としては外部委託も有力な手段の一つです。しかしながら「サイバー関連業務ノウハウが医療機関内部に蓄積されない」「恒常的に外部委託費用が発生する」「医療情報システムの管理責任は医療機関側にあり、サイバーリスクの転嫁にはならない」等の懸念点が挙げられます。
また「外部委託業者との責任分界点に関する合意形成」も必要とされます。実際のインシデント発生時には迅速な意思決定が求められますが、そのためには医療ワークフローに精通した人材がサプライチェーンマネジメントを含めて対応を主導する必要があります。そのような人材(サイバーリスクマネジメントを実施できる人材)については医療機関内部に確保しておくことが望ましいです。
以上を踏まえ各医療機関がサイバーセキュリティ成熟度を高めていくためには、各自の自助努力だけではなく「地域連携などによる共助」「人材育成を支援可能な外部組織の支援を受けつつ、医療機関内部に医療サイバー人材を育成・擁立する」といったアプローチが肝要になると考えられます。
医療サイバー人材の人材モデルは、各医療機関における現行の組織構造やサイバーセキュリティ体制に応じて、現実的に機能するものであることが求められます。例えばサイバーセキュリティの重要性に対して医療機関全体からの理解が不十分な状況においては、経営層レベルの権限を持った医療サイバー人材を設置するような方針について理事会のコンセンサスを得ることは難しいと考えられます。また、組織横断的なサイバーセキュリティガバナンスの指揮権限が医療サイバー人材に与えられていない状態では、医療サイバー人材を設置しても部門横断的なサイバーガバナンスが機能せず、サイバーセキュリティ対策を自家薬籠中のものにはできないことが懸念されます。
このような現状を踏まえサイバー人材を適切に育成・活用するためには、各医療機関において組織階層に合わせて経営層~管理層レベルで機能する「医療サイバーリスクコントローラー (以下、医療サイバーRC)」、および管理層~運用層レベルで機能する「医療サイバーリスクオーナー (以下、医療サイバーRO)」を配置することが望ましいです。
医療サイバーRCは医療機関全体のサイバーセキュリティ統括責任者として説明責任を負います。業務としては「経営層に対するサイバーセキュリティ戦略の立案」「サイバーセキュリティに対する予算確保(投資・経費)」「サイバーセキュリティ施策の推進」等が想定されます。このレベルの人材には「動的に変化するサイバーリスク」および「発生したサイバーセキュリティインシデントへの迅速な対応の主導」が求められます。そのためサイバーセキュリティガバナンスに関する権限移譲を経営層から受けていることが望ましいと考えられます。
一方、医療サイバーROは、各サイバーセキュリティ関連業務におけるリスク管理を行います。業務としては「医療サイバーRCに対するサイバーセキュリティ施策に係る提案」「サイバーセキュリティ関連実務の主導」「他領域のリスクオーナーとの連携」等が想定されます。
これらの医療サイバー人材は先述の通り業界全体で不足しているのが現実です。したがって医療サイバー人材を各医療機関内に擁立するためには、人材モデルに近いスキルセットを持った人材を育成するアプローチが必要とされます。人材要件としては「医療情報技師資格を有すること」「サイバーセキュリティ関連の専門知見を有すること」「医療情報システム管理経験を有すること」など、育成を前提とした幅広な要件設定がなされることが望ましいです。
デロイト トーマツは医療業界におけるサイバーセキュリティ人材確保へ向けた「国の環境整備へ対する助言・支援」を通じて、日本の医療業界におけるサイバーセキュリティの成熟度向上を推進します。例えば、各種ガイドライン改訂に係る助言、現行の診療報酬制度改善に向けたサイバーセキュリティ観点での提言等を行います。
各医療機関が個別に内部で医療サイバー人材育成を実施することは、一般的に困難です。そのため医療機関外部のサイバーセキュリティ・医療情報システム、および医療経営の専門家からのサポートが求められます。デロイト トーマツには各分野の専門家が多数在籍しており、医療サイバー人材育成をはじめとする「医療業界のサイバーセキュリティに係る課題解決」を経営レベル~管理・運用まで一気通貫で支援するケイパビリティを有しています。特に医療サイバー人材育成活動に対しては「人材育成プラットフォームとしての育成教育」、「トレーニングの実施、コンテンツ提供」、「医療サイバーRCおよび医療サイバーRO人材の支援」等によるご支援が可能です。
*1:徳島県つるぎ町立半田病院 「コンピュータウイルス感染事案有識者会議調査報告書」
*2:地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター 「情報セキュリティインシデント調査委員会報告書」
*3:総務省 「令和4年版情報通信白書 我が国におけるサイバーセキュリティの現状 第2部情報通信分野の現状と課題 第7節 サイバーセキュリティの動向」
*5:厚生労働省 「医療法施行規則の一部を改正する省令について」
*6:厚生労働省 「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」
*7:一般社団法人医療サイバーセキュリティ協議会常任理事、群馬大学医学部付属病院 鳥飼幸太 准教授へのインタビュー内容より引用(2023年9月19日、デロイト トーマツにて実施)
*8:総務省「我が国のサイバーセキュリティ人材の現状について」
鈴木 克明/Katsuaki Suzuki
デロイト トーマツ サイバー合同会社
デロイト トーマツ サイバー合同会社に参画後、主にヘルスケア業界への事業展開を担当。
インターネット技術開発、制御機器セキュリティ、サイバー戦略策定等幅広い経験を有する。
一般社団法人医療サイバーセキュリティ協議会常任理事(副理事長)、群馬大学医学部付属病院研究員、厚生労働省 オンライン診療ガイドラインの改定に関する研究班メンバー等を歴任。
北市 恭奨/Kyosuke Kitaichi
デロイト トーマツ サイバー合同会社
デロイト トーマツ コンサルティングに参画後、経済安全保障×サイバーセキュリティを主軸に活動。2019年よりデロイト トーマツ サイバーに参画。ライフサイエンス・ヘルスケア業界や製造業を中心に、サイバー戦略策定やグローバルガバナンス態勢構築、組織風土変革、セキュリティを起点とした製品・サービスの事業戦略およびルール形成戦略策定など、サイバーストラテジー領域の幅広い経験を有する。
林 大貴/Daiki Hayashi
デロイト トーマツ サイバー合同会社
国内大学院にて生命科学修士号を取得後、2022年よりデロイト トーマツ サイバー合同会社に参画。サイバー戦略策定、サイバーセキュリティガバナンス構築およびサイバーセキュリティ成熟度向上、グローバルサイバーセキュリティ規格適合など、幅広いサイバーリスクアドバイザリーの経験を有する。
※所属などの情報は執筆当時のものです。
金融(保険業)・ライフサイエンス(製薬・医療機器)・ヘルスケア(医療機関)におけるサイバーセキュリティ関連サービスを主に担当。サイバーセキュリティおよびリスクアドバイザリーの専門家として約20年の経験を有する。 コンサルティングファーム・グローバルテクノロジー企業にて、大企業・多国籍企業向けに多数のサイバーセキュリティコンサルティングサービス(脅威インテリジェンス導⼊・プロセス設計支援、インシデント対応⽀援、グローバルITガバナンス強化)の責任者を務めた後、現職。 関連するサービス/インダストリー ライフサイエンス・ヘルスケア 金融