　2021年10月31日に徳島の医療機関で起きたサイバー攻撃では、病院内のシステムがランサムウェアに感染し、電子カルテなどのデータが暗号化されて利用不能になり、その後2カ月に及んで治療行為を含む正常な病院業務が滞ることとなりました。このインシデントは、国内はもとより、海外の新聞やテレビにも取り上げられ、社会的な問題となりました。^※5）

※5）徳島県つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書について」（2022年）

　また、2022年10月31日に大阪の医療機関で起きたサイバー攻撃では、ランサムウェアへの感染により、電子カルテを含めた医療情報システムが利用できなくなり、救急診療や外来診療、予定手術などの診療機能に大きな支障が生じました。このインシデントは復旧に2カ月強を要し、病床数865床を誇る大規模病院であったことからも、調査／復旧費用で数億円以上、診療制限などの逸失利益は数十億円以上に上りました。^※6）

※6）大阪急性期・総合医療センター「情報セキュリティインシデント調査委員会報告書について」（2023年）

急増するサイバー攻撃に対する政府の動き

　国内におけるITネットワークに関する法律は、古くは2001に施行された「高度情報通信ネットワーク社会形成基本法」（以下、IT基本法）までさかのぼります。IT基本法では、日本が高度情報通信ネットワーク社会を実現していくために、IT政策全体の基本理念や重点計画が定められました（現在は、デジタル社会形成基本法の施行に伴いIT基本法は廃止されています）。

　その後、2005年には政府のIT戦略本部の決定に基づき、内閣官房情報セキュリティセンター（NISC）が設置されました。ITに障害が起きた場合、国民生活や経済活動に大きな打撃を与える可能性があります。そこで、情報セキュリティ対策の中核組織の必要性を重視した政府は、情報セキュリティ政策の基本戦略を決定する「情報セキュリティ対策会議」と、その遂行機関である「内閣官房情報セキュリティセンター」を設置したのです。

　しかし、その後も大企業や官庁において、ウイルス感染や政府機関への標的型攻撃が増加し、サイバー攻撃によって個人情報が漏えいするケースもありました。サイバー攻撃はその後も増加の一途をたどり、セキュリティ戦略の強化が必要となりました。そこで、IT基本法とともに活用される法律として、サイバーセキュリティ基本法が2015年に施行されたのです。

　サイバーセキュリティ基本法では、「サイバーセキュリティに関する施策を総合的かつ効率的に推進するため、基本理念を定め、国の責務等を明らかにし、サイバーセキュリティ戦略の策定その他、当該施策の基本となる事項等を規定しています」と記されています。^※7）

※7）総務省「国民のための情報セキュリティサイト」

　ただし、サイバーセキュリティ基本法はあくまで基本を示したものであり、2015年には、同法に基づき、内閣に「サイバーセキュリティ戦略本部」と、内閣官房情報セキュリティセンターの後継である「内閣サイバーセキュリティセンター」（略称は変わらずNISC）が設置されました。

　NISCは、「サイバーセキュリティ戦略本部の事務局としての役割のほか、行政各部の情報システムに対する不正な活動の監視・分析やサイバーセキュリティの確保に関し必要な助言、情報の提供その他の援助、監査等を行うとともに、サイバーセキュリティの確保に関する総合調整役を担っています」と定められています。^※8）

※8）内閣サイバーセキュリティセンター「内閣サイバーセキュリティセンター（NISC）について」

　直近の動向としては、2022年6月に「重要インフラのサイバーセキュリティに係る行動計画」が公表されました。^※9）行動計画では、サイバーセキュリティ基本法に基づく措置が明確なものとなり、サイバー攻撃への防御義務に関する対策が不十分であれば、事業者に対して改善が求められることになりました。医療を含む14分野の重要インフラ事業者が対象となり、サイバー攻撃への備えが義務付けられました。

※9）内閣サイバーセキュリティセンター「重要インフラのサイバーセキュリティに係る行動計画」

　そして、医療機関や医療機器に対する規制も強化の方向にあります。規制によって医療機関や医療機器メーカーは、今までよりも厳格なサイバーセキュリティ対応が求められるのです。

　次回は、国内における医療関連分野を中心としたサイバーセキュリティの規制動向について説明します。

筆者プロフィール

富士ソフト降籏信也

富士ソフトに入社以来、多数の医療機器開発プロジェクトに従事。医療機器ソフトウェアの国際規格であるIEC 62304に対応するためのコンサルティングを始め、医療機器サイバーセキュリティへの対応（IEC 81001-5-1）、医療情報を安全に取り扱うための3省2ガイドラインへの対応など、医療法規制に対応するためのコンサルタントとして活動している。

⇒富士ソフトWebサイトの降籏氏執筆記事まとめはこちら

米国でヘルスケアデータを扱う非医療機器の規制がさらに強化される理由
本連載第8回で取り上げた米国の「非医療機器（Non-SaMD）」を取り巻くプライバシーやサイバーセキュリティの規制が大きく変わりつつある。
米国で急加速するゲノムデータのサイバーセキュリティ対策
本連載第84回および第88回で米国のバイオエコノミー研究開発推進施策を取り上げたが、その中からサイバーセキュリティ対策の進捗状況について取り上げる。
欧州はGDPRを起点にデータ保護エンジニアリングへ、医療分野はじめ新産業創出も
本連載第83回で、保健データ越境利用の社会実装に向けたEUの制度的仕組みづくりを取り上げたが、技術面では、GDPRを起点とするプライバシー保護技術の標準化と産業創出支援の活動が進んでいる。
ソフトウェアサプライチェーンセキュリティを「品質」で読み解く
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。
日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第2回は、日本でのソフトウェアサプライチェーンセキュリティに関する取り組みの状況について紹介する。
米国大統領令とEUのCRAが示すソフトウェアサプライチェーンセキュリティとは
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第1回は、米欧が唱えるソフトウェアサプライチェーンセキュリティの全体像と目的と併せて、製造業などでも増大しつつあるセキュリティインシデントを減らすための基本的な考え方を紹介する。