「統一方針 国が示せ」日本病院会 相澤会長 ~ 医療機関とITベンダの責任範囲について見解 | ScanNetSecurity
2023.02.07(火)

「統一方針 国が示せ」日本病院会 相澤会長 ~ 医療機関とITベンダの責任範囲について見解

 株式会社グローバルヘルスコンサルティング・ジャパンは1月17日、同社が運営する医療ニュースサイト「Gem Med」にて、日本病院会の相澤孝夫会長によるサイバーセキュリティ対策における医療機関・ベンダー等の間の責任分解についての意見を発表した。

製品・サービス・業界動向 業界動向

 人命や健康より利益を優先する欧米型の巨大製薬企業等は別として街の病院などの医療機関は攻撃の対象とすべきではない、などとする昔気質(むかしかたぎ)のサイバー攻撃者も一部には存在するが、サイバー攻撃、特にランサムウェア攻撃の格好の標的として医療機関が狙われる傾向が全世界的に続いている。業務内容的に身代金支払いもやむを得ないという判断になりやすいという推定があるからだ。

 たとえばVPN機器の公知の脆弱性がそれらの攻撃の経路となることなどもあるが、ベンダーやSIerにとっては機器やシステムを販売したら終わりであり面倒な運用はやりたくないしやるとしても別契約とせざるをえない。一方で医療機関側は、そもそも購入した機器に購入後に脆弱性などが発見されたり、それがサイバー攻撃に悪用されるなどという知識自体持たない場合すら少なくない。

 株式会社グローバルヘルスコンサルティング・ジャパンは1月17日、同社が運営する医療ニュースサイト「Gem Med」にて、日本病院会の相澤孝夫会長によるサイバーセキュリティ対策における医療機関・ベンダー等の間の責任分解についての意見を発表した。

 相澤氏は1月17日に行った記者会見で、医療機関のサイバーセキュリティ対策について「どこまでが医療機関の責任で、どこからがシステムベンダーや機器メーカーなどの責任なのか」を明確化する(責任分解)ことが極めて重要なテーマとなっていると発言、アップデートを誰が行うのかがなどを明確にしなければ十分な対応が行えず、さらに被害が発生した際にも損害をどのような負担割合で賠償するのかを決めることも難しくなると指摘している。

 責任分解について、医療機関とシステムベンダーや機器メーカーなどの個別交渉に委ねることは、両者の力関係で一方が不利益を被ることもある可能性もあるため、当事者の交渉に委ねるのではなく国が統一した指針などを設けるべきではないかとの考えで日本病院会幹部は一致しているとのこと。

 サイバーセキュリティに関する責任分解については、2023年2月中にも厚生労働省に対し申し入れを行う考えを相澤氏は示している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. ファイル誤添付メール送信で戒告の懲戒処分

    ファイル誤添付メール送信で戒告の懲戒処分

  2. 教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

    教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

  3. 不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

    不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

  4. 三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

    三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

  5. 尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

    尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

  6. 給油所でシステム障害発生 8時間給油停止に

    給油所でシステム障害発生 8時間給油停止に

  7. チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

    チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

  8. 東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

    東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示

  9. WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

    WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

  10. 「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

    「Apex Legends」高ランク帯のマッチ向けにDDoS攻撃からの保護機能を実装

ランキングをもっと見る