医療機関へのシステム導入におけるセキュリティ対策、提供事業者は何をすべきか:医療サイバーセキュリティ最新動向(2/2 ページ)
本稿は、医療機関にシステムを導入する際に必要不可欠となるサイバーセキュリティ対策について、情報システムメーカー(提供事業者)が取るべき対応を解説する。
医療機関に対するサイバーセキュリティの義務化
このように、政府はガイドラインの整備を通じて、医療機関に対するセキュリティ対策を示しています。しかし、実態としては医療機関に対するサイバー攻撃が増加しており、それに伴う被害も発生しているのです。
ガイドラインは2005年という比較的早い段階から存在していましたが、あくまで指針であり、法的拘束力を持つものではなかったため、十分に認知されていなかったのかもしれません。
このことから政府は、サイバーセキュリティ対策に関する取り組みの実効性を高める必要があると考え、2023年3月に「医療法施行規則の一部を改正する省令(令和5年厚生労働省令第20号)」を公布し、2023年4月から施行されることを通知し、医療機関に対してサイバーセキュリティの確保を義務付けました。
また本通知では、留意事項として「最新の『医療情報システムの安全管理ガイドライン』を参照の上、サイバー攻撃への対策を含めセキュリティ全般について適切な対応を行うこと」が示されました。
サイバーセキュリティ対策チェックリスト
このように、医療機関におけるサイバーセキュリティ対策が義務化されたものの、「安全管理ガイドライン」の内容が、詳細かつ多岐にわたるため、サイバーセキュリティに関する知見がない医療機関では対応が困難でした。
そこで政府は、医療機関が、サイバーセキュリティのステップを少しでも進めていけるように、2023年6月、セキュリティ対策において優先的に着手すべき十数個の項目を示した「医療機関におけるサイバーセキュリティ対策チェックリスト」を公開しました。まずはこれを足掛かりとして医療機関にサイバーセキュリティ対策に取り組んでもらう、というのが厚生労働省の目的であったと考えられます。
なお、本チェックリストは「医療機関確認用」と「事業者確認用」の2種類に分けられているため、「医療機関」と「医療機関に情報システムを提供する提供事業者」がそれぞれ確認する必要があります。また、2023年6月19日発表の「医療法第25条第1項の規定に基づく立入検査要綱の一部改正について」によって、各都道府県で実施される医療機関への立ち入り検査で本チェックリストが確認されることとなりました。
そして、本チェックリストの項目において、医療機関は、提供事業者から「製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)」を提出してもらったかを問われるため、提供事業者にMDS/SDSの提出を求めるようになりました。
提供事業者は、医療機関から提出を求められたときのために、本チェックリストおよびMDS/SDSを事前に用意しておく必要があります。
MDS/SDSだけでは不足?
MDS/SDSとは、安全管理ガイドラインに対する医療情報システムの適合状況を記載するためのチェックリストです。安全管理ガイドラインに基づくため、MDS/SDSを作成するには、前提として同ガイドラインへの理解が必要になります。
MDS/SDSを利用すれば、提供事業者は安全管理ガイドラインへの対応状況を示すことができます。医療機関はMDS/SDSを提供事業者から受け取って、同ガイドラインへの対応状況を容易に把握できるようになるのです。
ただし本来は、安全管理ガイドラインへの対応状況を示すには、提供事業者ガイドラインに準拠した上でMDS/SDSを利用して示すべきです。しかしながら、サイバーセキュリティ対策チェックリストの項目にあるのはMDS/SDSの提出のみです。
このため、提供事業者ガイドラインが求めるセキュリティ対策が行われていないという実態があると推測しています。
医療機関にシステムを導入する情報システムメーカーが取るべき対応とは
以上を踏まえると、医療機関に対して提出しなければならないMDS/SDSの作成は重要ですが、MDS/SDSはあくまで安全管理ガイドラインへの対応状況を確認するためのチェックリストにすぎません。MDS/SDSそのものには、安全管理ガイドラインに対応するために、提供事業者である情報システムメーカーがどのような対応をすればいいのか、具体的な対応方法は示されていません。
安全管理ガイドラインに対応するために、情報システムメーカーとして何をする必要があるのか、これを示しているのは提供事業者ガイドラインです。
だからこそ、情報システムメーカーは提供事業者ガイドラインに従って対応を進めることで、安全管理ガイドラインに準拠した上でMDS/SDSに対応できるのです。「医療機関から提出を求められてしまうから、取りあえずMDS/SDSのチェックだけして提出しよう」といった形式だけの対応で形骸化してしまわないよう、MDS/SDSの本来の意図を理解し、正しい対応をすることが重要です。
- 【提供事業者が取るべき対応】
- 「提供事業者ガイドライン」への準拠
- 「MDS/SDS」の作成
- 「サイバーセキュリティ対策チェックリスト」の作成
医療分野のサイバーセキュリティの動向と、提供事業者が取るべき対応について説明しました。サイバー攻撃を巡る技術の高度化は日進月歩であり、センシティブな情報を取り扱う医療分野においてはサイバーセキュリティの確保は必須事項です。提供事業者は、サイバーセキュリティの重要性とそのために必要な対応について正しく理解し、医療システムのセキュリティを強化していく必要があります。本記事が読者のサイバーセキュリティ対策の一助となることを願います。
筆者プロフィール
伊藤 健(いとう けん)
富士ソフト システムインテグレーション事業本部 インフォメーションビジネス事業部 第2技術部 IoMT推進グループ 課長/フェロー
富士ソフトで多くの医療機器/医療情報システム開発に従事し、医療業界のさまざまな知見を獲得。同社内にて、医療機器/医療情報システム開発に必要となる各種サービス/ソリューションの立ち上げなど、市場の動向に合わせたサービスを企画、推進している。自身としても医療の法規制に関するコンサルタントとして活動している。
佐々木 倫央(ささき ともひさ)
富士ソフト システムインテグレーション事業本部 インフォメーションビジネス事業部 第2技術部 IoMT推進グループ
医療情報システムメーカーを対象として、医療情報を安全に取り扱うための「3省2ガイドライン」に対応するためのコンサルティングをはじめ、医療機器サイバーセキュリティへの対応等、医療領域のセキュリティ向上のためにコンサルタントとして活動している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「医療サイバーセキュリティ最新動向」のバックナンバー
間近に迫る国内医療セキュリティ規制対応の期限、デッドラインは2024年3月末にも
医療分野におけるサイバーセキュリティの最新動向を紹介するとともに、今後の医療機器開発の進め方などについて説明する本連載。第3回は、2024年3月末にも期限を迎える国内医療関連サイバーセキュリティの規制に対して、医療情報システムや医療機器のメーカーが今すぐに取るべき対応について解説する。
急ピッチで整備が進む国内の医療関連サイバーセキュリティ規制
医療分野におけるサイバーセキュリティの最新動向を紹介するとともに、今後の医療機器開発の進め方などについて説明する本連載。第2回は、国内における医療関連分野を中心としたサイバーセキュリティの規制動向を取り上げる。
医療分野で急増するサイバー攻撃、政府の対応はどこまで進んでいるのか
医療分野におけるサイバーセキュリティの最新動向を紹介するとともに、今後の医療機器開発の進め方などについて説明する本連載。第1回は、医療分野で急増するサイバー攻撃の状況と日本政府の対応を取り上げる。
この事件を無駄にするな! 医療業界が伝える製造業セキュリティへの提言
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、大きな注目を集めた岡山県精神科医療センターにおけるランサムウェア事案に関する調査報告書の内容を読み解く。
第2次トランプ政権で米国の医療IoT/OTセキュリティ規制はどうなるのか
米国会計検査院(GAO)は、IoTやOTのサイバーセキュリティに関する報告書および勧告を通じて、保健福祉省や食品医薬品局による取り組みの改善状況をチェックしている。2025年から第2次トランプ政権が始まるが、GAOの勧告も併せて米国の医療IoT/OTセキュリティ規制の動向に注目が集まる。