資料・書籍・その他

医療機器高度化に伴う医療情報の
サイバーセキュリティマネジメントに関する研究

秋冨 慎司

研究協力者：澤倫太郎、川口洋、笹原英司、篠田佳奈、園田道夫、鎮西清行、山寺純、Assaf Marco

　中央官庁やグローバル企業のみならず、中小企業においてもサイバー攻撃が多発し、多くの情報漏えいや業務停止、身代金支払いが発生し多大な損害が発生している。すでに世界各国でサイバーセキュリティに対して多額の費用を投じて対応をしているが、問題が発生した場合に人命に直接関わる病院のサイバーセキュリティに対しては議論が始まったばかりで、準備はまだ不完全の状態である。仮に病院を一斉に攻撃された場合に混乱が1週間以上続き、重症患者の受け入れが困難になるだけでなく、通常の外来受診機や定期手術などの病院機能が消失する可能性があり、その対策は急を要する。

　電子カルテに対するサイバー攻撃について、２つのサイバーセキュリティ型であるクラウド型とオンプレ型がある。レセプトオンラインの義務化によりインターネット接続環境が当たり前になるとクラウド型も多くの医療機関で導入されており、サイバー攻撃への不十分な対策に対する情報提供などの支援が重要となる。その一方、今まで多くの医療現場で導入されている医療機関自らがサーバを保有し管理するオンプレ型は、サーバテロなどのネットワーク上の脅威にさらされることは少なく安全と思われていたが、医療機器のIoT化により知らない間に外部とつながっているリスクが分かってきた。

　現在、医療機器のIoT化は早く、世界では病院などの医療機関に対するサイバー攻撃が増加している。一般的にウイルス対策ソフトなどで守られているパソコンと異なり、IoT医療機器には十分なセキュリティ対策が施されていないのが現状で、アップデートもままならず、またIoT医療機器の多くが共通のプロトコルやOSを利用していない。IoT医療機器の活躍の場は急速に広がっており、すでに小型医療機器としてインターネット接続し、例えば体に付けたセンサなどから生体データや環境データを取得し、ビックデータとして活用する医療・ヘルスケアサービスの提供も増えてきている。

　このように今後増加するであろうIoT医療機器に十分なセキュリティ対策が施されていない理由として、異なるメーカーのIoT医療機器、違う型番、OSの違いやOSは同じだがバージョンが違うと機能も動作環境も異なることが多いことや、さらに気がついていない機器がすでにIoT化されている数が多い事や、意外なところで使用されているなど、病院の情報システム管理者ですら把握出来なくなっており、ネットワークに接続されたIoT医療機器の全体構成を把握するのが困難を極めている。脆弱なセキュリティ対策のためインターネットに接続された医療機器（IoT機器）へのハッキングは比較的容易であり、今後は身代金目的やその他の犯罪に絡み、医療施設がハッカーからの標的になることは十分に考えられる。

　今後はさらに地域医療連携、ヘルスケアサプライチェーン、医療IoT導入の充実がはかられ、より一層のIT・IoT化の進展により、さらにリスクは広範囲かつ深化しており、医療を安全で安心した形で、患者に寄り添うデジタル化を推進するためには、医療現場の状況を把握しつつ、日本医師会が責任ある形で政府や民間に提供、提案していく必要がある。さらにCOVID-19パンデミックを契機に、海外のスタートアップ企業主導で新規医療機器の開発・承認申請ラッシュが起きており、その対応は急務である。