一般社団法人医療ISACは3月15日、健診施設に対するセキュリティアンケート調査結果をレポートとして発表した。
医療ISACは公益社団法人日本人間ドック学会と共同で、学会加盟組織を対象に健診システム、及び当該システムと連携する電子カルテシステムの利用状況および、そのセキュリティにについて、アンケート調査を実施、315件の回答を得た。
同レポートでは、第1章で調査回答組織の全体内訳・調査項目等の概要を解説、第2章で全体結果、第3章で年間健診数別結果、第4章で施設類型別、第5章でIT利用環境別の結果を掲載している。
調査結果によると、調査対象健診施設のうち8割以上がサイバーリスクへの脅威を感じていることが判明した。
脆弱性の指摘のあったForitnet社製VPN製品の利用率は3割強で、8割以上の施設で脆弱性対応は完了しているが、おおよそ1割程度の施設ではベンダによる非対応判断・指示、あるいはクローズドネットワークの安全神話等の理由により未対応であった。全体の3割程度はVPN製品の種別を把握しておらず、潜在的な脆弱性リスクを抱えている状況も明らかになった。
年間セキュリティ予算について、500万円未満が4割弱を占める一方で、500万円以上を確保する施設も2割を占め、うち5,000万円以上の施設も数パーセント存在する。ただし、セキュリティ予算が十分と回答する施設は1割強程度で、施設のIT規模が求めるセキュリティ予算が十分確保できていない事態が浮き彫りになった。
健診分野では、セキュリティ予算を相応に確保し、厚生労働省「医療情報システムの安全管理に関するガイドライン」を踏まえた観点で、IT事業者という外部委託先をマネージしながら、セキュリティ監査等を通したセキュリティPDCAに取り組めている施設が一部存在する一方で、多くの施設がITの規模に一致したセキュリティ予算を確保できず、IT事業者とのセキュリティ面を含めた契約管理を通したリスクコミュニケーションの恩恵等を十分に受けられていない状況が推察され、セキュリティPDCAに通じた施設の成功事例等を参考に、業界全体としてセキュリティ管理水準の底上げを図ることが重要とまとめている。
