「WannaCry」に襲われた英国の地域医療連携システム、そこから何を学べるのか：海外医療技術トレンド（29）（1/3 ページ）

2017年10月に発生したランサムウェア「WannaCry」によるサイバー攻撃。被害事例として真っ先に挙げられたのが英国の医療機関だ。病院単体にとどまらず、地域医療連携システムにも影響が出た。そのとき、どのように対処し、今後のどのような対策を取ろうとしているのだろうか。

[笹原英司，MONOist]

　本連載第11回で、医療機関における大規模サイバー攻撃被害を取り上げたが、セキュリティリスクは、病院単体から地域医療連携システム全体へと拡大している。今回は、英国の事例を取り上げる。

デジタル化で英国の公的医療制度を支えるNHS

　英国の国民保健サービス（NHS）は、一般税や国民保険を主財源とする公的医療制度である。組織としては、いわゆるかかりつけ医（GP：General Practitioner）を中核とするプライマリーケアと、病院を統括し、地域医療サービスの運営を担うNHSトラストを中核とするセカンダリーケアに大別される。地域的には、イングランド、スコットランド、ウェールズ、北アイルランド、その他の諸島に分けられて運営されている。

　保健省傘下で、NHS全体の保健・医療システムを統括管理するのが、NHSデジタル（旧保健・社会医療情報センター（HSCIC））であり、「NHSデジタルデータ・情報戦略」（2016年11月、関連情報）に基づき図1のような役割を担っている。

図1　NHSデジタルの役割（2016年11月）（クリックで拡大） 出典：NHS Digital「NHS Digital data and information strategy」（2016年11月）

　市民中心の視点から、地域に分散するNHS傘下の保健・医療施設を、共有アーキテクチャ・標準化、データライフサイクル管理、セキュリティ／プライバシー対策など、ICTで統括的に支援する点が、NHSデジタルの特徴だ。

　NHSデジタルは、ネットワークやインフラストラクチャのクラウド化に取組む一方、病院や地域の医療サービスの運営母体であるNHSトラストにおけるクラウド化、AI（人工知能）利用など、新技術導入も積極的に支援している。例えば、NHSイングランド傘下の医療機関では、以下のような導入事例がある。

• 南ロンドン・モーズレイNHS財団トラスト×Microsoft Office 365（関連情報：「SLAM gets connected with Office 365」）
• ロンドン・ロイヤルフリー病院×Google DeepMind（関連情報：「Working with the NHS」）
• ロンドン・ムーアフィールド眼科病院×Google DeepMind（関連情報：「DeepMind Health research partnership」）

　なお、サイバーセキュリティ／データ保護対策に関しては、NHSデジタル傘下のデータセキュリティセンターが統括管理しており、以下のような役割を担っている。

• ITシステムやネットワークに対するセキュリティ脅威をモニタリングし、防御／インシデント管理を通して、組織がこれらの脅威に対応するのを支援する
• システム全体に渡るセキュリティインシデントに対して、国家的な対応を提供する
• 情報セキュリティ／コンサルティングを提供し、システム設計／開発におけるセキュリティ課題で支援する
• 保健／医療セクターのITセキュリティに関する標準規格を設定し、レビューする
• 保健／医療で働く人々のために、指針やアドバイスを提供する
• ナショナルデータガーディアンによるデータセキュリティ、コンセント、オプトアウトのレビューへの政府の対応に従って、サービスの選択を修正し、開発する

　インシデント対応・情報共有機能を担うCareCERT（Care Computing Emergency Response Team）の運営もデータセキュリティセンターが行っている（関連情報）。