第284号コラム「サイバーセキュリティと医療」

第284号コラム:中安 一幸 主査
(厚生労働省 政策統括官付情報政策担当参事官室 室長補佐、
北海道大学大学院 保健科学研究院 客員准教授)
題:「サイバーセキュリティと医療」

医療においてもICT化・ネットワーク化はそれなりの進捗があり、ようやくデータ利活用の道筋も見えてきつつある。それまで技師などのヒトの手を用いてなされてきた、各種の検体検査や画像検査などの自動化は比較的歴史も古く、また人体に侵襲を伴う治療そのものの電子化・自動化も、ここ近年めざましい進歩を遂げた。
これら高度化されたモダリティやアナライザの進化・発展がなければ、今日期待される治療水準は当然達せられてはいないだろうし、検査結果や治療の経過、結果を電子的にデータとして出力することも叶わず、そうすると、全ての指示・実施などの行為記録は紙面に記述されることとなり、高効率的なデータの利活用など到底望めない状況となる。

今日、検査実施データ等を複数の医療機関間で共有・相互参照する等して地域における医療連携の高効率化・高品質化する等の取組は各所で見られるが、それでなくても日々忙しく診療業務をなす傍ら、その診療に伴い発生する情報の全てを電子化(典型的にはキーボードを使って入力してデータ化する等)することなど不可能に近い。治療機器・検査機器等の電子化が進展していなければ、現在のような地域診療情報連携は構想しにくい。厚生労働省の「医療情報システムの安全管理に関するガイドライン」においては、電子カルテシステム等により、日々蓄積される診療情報を他の機関等と共有・相互参照する等の場合における情報の安全管理の在り方について規整している。ガイドラインでは、医療機関内の情報機器の安全管理、診療情報を送受信する際のネットワークの安全性の考え方等をはじめ、情報の可用性を担保するための標準化・相互運用性確保や、情報共有の際の責任の分界の考え方等を述べるにあたり、当然に電子情報の発生源となる医療機器・検査機器等の「情報技術的な」安全管理についてもその範疇に含めている。

ところで医療機器・検査機器というものは、その用途・性格や必要性、技術の進展の度合い等により、院内の電子カルテネットワークに直接(乃至は部門系情報システムの支配下に置くことにより)接続され、オーダ、実施、結果情報が完全に電子化されて診療用端末からコントロール可能なものもあれば、これらネットワークとは接続されず医療スタッフの用手による設定、作動、結果参照等を必要とする、いわゆる「スタンドアロン」の機器まで実に多種多様である。
ガイドラインでは、こういった医療機関における種々の安全管理が適切になされていることを前提として、特に他の医療機関との情報連携時の振る舞いについては詳細なリスク分析を経て指針化、公表しているものであるが、スタンドアロン機器が外部から受け得る攻撃や脅威についての検討は、情報ソースとしての機器や外部とのネットワーク等に(間接的にではあっても)接続されるノードとして位置づけられる場合におけるそれほど網羅的かつ具体的であるとまではいえない余地を残す。

無論、直接に人体に侵襲を及ぼしたり出力されるデータに誤りがあっては治療を誤らせる可能性があったりする機器群であるため、国民の安全を守る観点からは医療・薬事等に関する厳しい規制を受ける製品であり、患者安全・医療安全の観点からの検討が不十分であるというものではない。
しかし一方でこういった視座からは、外部からの不正な設定操作などのサイバー攻撃が網羅的に検討されているとまでは考えにくい。

情報技術の推進と規整を図る視座からは、そのような厳格な規制が既に存在すること、スタンドアロン機器内部の制御機構(ファームウェア等を含めて)をよもやサイバー攻撃の対象となるとは見做しておらず、サイバーセキュリティを考慮しなければならない対象として「定義していない」等の事情が斟酌できるが、分類や定義がどうであれ、不正な設定操作やデータ改ざんなどが行われてしまえば、患者の身体・生命に危急が及びかねない。

攻撃の手法も日々進化しており、そうするととるべき対策も日進月歩の進化をせざるを得ないことは自明であるが、近年、FDA(Food and Drug Administration; 米国食品医薬品局)から医療機器におけるサイバーセキュリティにまつわる興味深いレポートが公表されたことも契機の一つとして、いま一度、医療機器にまつわるサイバーセキュリティについて検討するべき時期であろうと考え、JIRA(Japan Medical Imaging and Radiological Systems Industries Association;一般社団法人 日本画像医療システム工業会)、JAHIS(Japanese Association of Healthcare Information Systems Industry;一般社団法人 保健医療福祉情報システム工業会)及びJAITA(Japan Electronics and Information Technology Industries Association;一般社団法人 電子情報技術産業協会)のそれぞれのセキュリティ部門と実務的検討を開始することとした。

この検討状況については話題提供として、来る平成25年12月16日~17日に開催される「第10回デジタル・フォレンジック・コミュニティ2013 in TOKYO」において報告することとしたい。

【著作権は中安氏に属します】