次に図4は、NHSにおける「WannaCry」のインパクトを整理したものである。
報告書は、プライマリーケア(例:かかりつけ医の診療所)およびセカンダリーケア(例:病院)における既知の障害以外に、以下のような未知の障害が存在すると指摘している。
その上で、「WannaCry」がNHSに及ぼした影響について、以下のような点を指摘している。
さらに図5は、NHSにおけるサイバーセキュリティの役割と責任(2017年9月時点)を示している
英国の地域医療連携ネットワークのサイバーセキュリティ体制は、国家サイバーセキュリティ関連機関を統括する英国内閣府、保健医療行政を統括する保健省、地域医療連携組織を統括するNHSイングランド、医療ITを統括するNHSデジタル、そしてその他の関連機関などによるエコシステムから構成されているのが特徴だ。
当然、NHS傘下の医療情報システムとつながる医療設備/機器の製造販売事業者は、サプライヤー/パートナーとして、これらのエコシステムに組み込まれることになる。「WannaCry」のように、汎用ソフトウェアのセキュリティ脆弱性を突いたサイバー攻撃は、医療機器が直面するリスク要因でもあり、その直接的、間接的インパクトは、医療機関単体のみならず地域全体、国家全体に及ぶ可能性があることを、今回の報告書は示している。
最後に、報告書は、今回のインシデントからの教訓として、以下のような点を挙げている。
現在、英国政府は、EU(欧州連合)のネットワーク・情報セキュリティ(NIS)指令の適用に向けた国内サイバーセキュリティ関連ルールの整備作業を進めている(関連情報)。米国でも欧州でも、「医療機器」「非医療機器」に関わらず、重要インフラに該当する地域医療連携システムとつながる製品/サービスは、サイバーセキュリティエコシステムの一翼を担い、技術/組織の両面で、サプライヤー/パートナーとしての要求事項をクリアすることが新たな調達要件となりつつある。日本の医療機器業界にも、プロアクティブなサイバーセキュリティ対策を求める潮流が来ている。
笹原英司(ささはら えいじ)(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身。千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.