よむ、つかう、まなぶ。
サイバー事故に関しシステムベンダーが負う責任:医療DXを推進するために (12 ページ)
出典
| 公開元URL | |
| 出典情報 | サイバー事故に関しシステムベンダーが負う責任:医療DXを推進するために(8/24)《日本医師会総合政策研究機構》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
続いて法令上の責任について考察する。
4-2.システムベンダーの法令上の責任
特定類型のサイバー事故におけるシステムベンダーの法令上の責任につい
て、筆者見解は次の通りである。
(1)医療機関とシステムベンダーで締結したシステム保守契約において、当リス
クにかかるシステムベンダーの情報提供義務が明記されていないとしても、経
済産業省ガイドライン等に照らし、医療機関とシステムベンダーのセキュリテ
ィに関する専門性の格差を鑑み、既に攻撃手法が知られて実際に被害も発生し
ているような顕在化率が極めて高い状況下では、システムベンダーは医療機関
等に対し、委託契約又は信義誠実の原則(以下「信義則」
)*次頁注4に基づく付随
義務として、医療機関等が患者に対する安全管理義務を履行するために必要な
情報を適時適切に提供する義務を負うと考える。
(2)従って、医療機関と医療情報システムの保守契約を結び Fortinet 製 VPN 装
置(CVE-2018-13379)を設置したシステムベンダーから、医療機関に対し当
該装置の脆弱性に関する情報提供がなされないまま、当該装置の脆弱性を突い
たサイバー事故が発生した場合には、医療機関から保守契約の当事者であるシ
ステムベンダーに対し、「信義則」違反を理由に一定の責任を問える可能性が
あると考える9。
(3)特定類型のサイバー事故で患者等の個人情報漏洩が発生し、医療機関が患
者等に対し損害賠償責任を負ったことにより医療機関に発生した損害について
も、考え方は上記同様である。
9
兼子・岩松法律事務所・木﨑孝弁護士から同様の見解を得ている。
11
4-2.システムベンダーの法令上の責任
特定類型のサイバー事故におけるシステムベンダーの法令上の責任につい
て、筆者見解は次の通りである。
(1)医療機関とシステムベンダーで締結したシステム保守契約において、当リス
クにかかるシステムベンダーの情報提供義務が明記されていないとしても、経
済産業省ガイドライン等に照らし、医療機関とシステムベンダーのセキュリテ
ィに関する専門性の格差を鑑み、既に攻撃手法が知られて実際に被害も発生し
ているような顕在化率が極めて高い状況下では、システムベンダーは医療機関
等に対し、委託契約又は信義誠実の原則(以下「信義則」
)*次頁注4に基づく付随
義務として、医療機関等が患者に対する安全管理義務を履行するために必要な
情報を適時適切に提供する義務を負うと考える。
(2)従って、医療機関と医療情報システムの保守契約を結び Fortinet 製 VPN 装
置(CVE-2018-13379)を設置したシステムベンダーから、医療機関に対し当
該装置の脆弱性に関する情報提供がなされないまま、当該装置の脆弱性を突い
たサイバー事故が発生した場合には、医療機関から保守契約の当事者であるシ
ステムベンダーに対し、「信義則」違反を理由に一定の責任を問える可能性が
あると考える9。
(3)特定類型のサイバー事故で患者等の個人情報漏洩が発生し、医療機関が患
者等に対し損害賠償責任を負ったことにより医療機関に発生した損害について
も、考え方は上記同様である。
9
兼子・岩松法律事務所・木﨑孝弁護士から同様の見解を得ている。
11