低いセキュリティーの優先度

 なぜ医療機関での情報漏えいが多いのだろうか。日米ともに、医療現場におけるシステム防御に十分な対策がとられていないからだろう。理由はいくつか考えられる。まずは「優先度」だ。患者の生命を預かっている医療現場は、緊急性の高い業務が多く、それ以外には人手もコストもかけられない現状がある。

 システム保守に対しても、人手とコストをかけられない。そもそも過去の医療機器では、セキュリティーのために行うシステム保守という概念がなかった。その後、機器にコンピューターが内蔵され、セキュリティーを高く保つにはソフトウエアやファームウエアのアップデートが必要になった。

 セキュリティー・アップデートの重要性に対する理解不足や、統合管理を行うための人手不足でアップデートが放置されていないだろうか。実際、ランサムウエア「WannaCry」で大きな被害を受けた組織には、医療機関も含まれていたという。ソフトウエアを迅速にアップデートできていれば、感染は防げたかもしれない。

 難易度の高さもある。医療現場にネットワーク接続する装置やシステムが混在するようになり、セキュリティーの責任所在も複雑性が高まった。個人情報を含む多様なデータが相互接続し、データが散在しているとも言える。ハッカーからすれば、攻撃のポイントが増えていることになる。

 対策の難しさは、よくコストが理由に挙げられる。「セキュリティーより、ほかに回したい」が、データ侵害でダメージを受けると、予防よりも多くのコストがかかる。医療機関だけではなく、患者にも被害が及ぶ。病院や医療機関は患者の生命だけではなく、患者のデータも守らなくてはならない。

 有効な対策を打つには予算を確保し、セキュリティーの専門家や運用の安全性向上に投資していく必要がある。全て組織内で解決する必要はない。外部からのネットワーク攻撃に対する監視はSOC(Security Operation Center)や院内のネットワーク機器から集めたデータ利用の異常をも検知しアラートをあげるMSS(Managed Security Service)など外部に委託することもできる。これにより高度なハッキングによる情報漏洩に対策を講じることができる。

 ただ、情報管理のセキュリティーで一番に行うべきことは、もっと簡単なところにある。セキュリティーに関する教育と、不必要なデータを持たないことの徹底、そして必要な情報だけが権限ごとに閲覧、操作できるようにコントロールすることである。それらのデータにアクセスする際に、パスワードの複雑さや変更の頻度を上げても業務の効率を阻害するだけである。前述のインプリバータのような仕組みが医療の現場でも求められる時代になっている。