よむ、つかう、まなぶ。
サイバー事故に関しシステムベンダーが負う責任:医療DXを推進するために (3 ページ)
出典
| 公開元URL | |
| 出典情報 | サイバー事故に関しシステムベンダーが負う責任:医療DXを推進するために(8/24)《日本医師会総合政策研究機構》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
1.現状認識と問題意識について
昨今、産業界におけるサイバー攻撃の脅威は世界中でいよいよ増大し、悪質
化の傾向にある1。日本も同様の状況にあり2、遂には 2022 年 9 月~11 月末の
サイバー攻撃の標的数は世界 2 位であったとのレポートすらある3。なお警察庁
調査4によれば、国内ではサイバー攻撃の中でもランサムウェアによる感染被害
が多発し、事業活動の停止・遅延等、社会経済活動に多大な影響を及ぼしてい
るほか、サイバー攻撃や不正アクセスによる情報流出の相次ぐ発生など、サイ
バー空間における脅威は極めて深刻な情勢が続いている。
医療界も例外ではなく、警察庁調査によれば 2022 年度上期において、医
療・福祉分野でのランサムウェア被害件数は 9 件(全産業 114 件のうち 8%を
占める)であった。
一方で、医療機関と医療情報システムの構築・運用などの業務を一括して請け
負う事業者(以下「システムベンダー」)とは、サイバーセキュリティ対応に関
して、それぞれ相互に連携し、自らの責任を果たすこととされているが、一旦有
事が発生してしまった場合の相互の責任関係については、必ずしも明確にされ
ていない。また参考となる判例等も見当たらない。
このような環境下、内閣サイバーセキュリティセンター(NISC)より発出
された 2021 年 4 月 30 日付通知「ランサムウェアによるサイバー攻撃に関する
注意喚起」5の中で、Fortinet 製 VPN 装置(CVE-2018-13379)等の脆弱性
WIRED「ランサムウェア集団による“オンライン恐喝”が、さらに凶悪化する新局面に突入した」
(2023
年 3 月 16 日)https://wired.jp/article/ransomware-tactics-cancer-photos-student-records/
2 日本経済新聞(2022)
「身代金ウイルス、悪質に 機密暴露の「二重恐喝」6 割」
(2023 年 3 月 20 日朝
刊)https://www.nikkei.com/article/DGKKZO69413860Z10C23A3CM0000/
3 BlackBerry(2022)
「グローバル脅威インテリジェンスレポート」
https://www.blackberry.com/ja/jp/solutions/threat-intelligence/2023/threat-intelligence-report-jan-jp
4 警察庁(2022)
「令和 4 年上半期におけるサイバー空間をめぐる驚異の情勢等について」
(2022 年 9 月
15 日)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf
5 4 頁に抜粋を掲載。https://ajhc.or.jp/siryo/20210430-4.pdf
1
2
昨今、産業界におけるサイバー攻撃の脅威は世界中でいよいよ増大し、悪質
化の傾向にある1。日本も同様の状況にあり2、遂には 2022 年 9 月~11 月末の
サイバー攻撃の標的数は世界 2 位であったとのレポートすらある3。なお警察庁
調査4によれば、国内ではサイバー攻撃の中でもランサムウェアによる感染被害
が多発し、事業活動の停止・遅延等、社会経済活動に多大な影響を及ぼしてい
るほか、サイバー攻撃や不正アクセスによる情報流出の相次ぐ発生など、サイ
バー空間における脅威は極めて深刻な情勢が続いている。
医療界も例外ではなく、警察庁調査によれば 2022 年度上期において、医
療・福祉分野でのランサムウェア被害件数は 9 件(全産業 114 件のうち 8%を
占める)であった。
一方で、医療機関と医療情報システムの構築・運用などの業務を一括して請け
負う事業者(以下「システムベンダー」)とは、サイバーセキュリティ対応に関
して、それぞれ相互に連携し、自らの責任を果たすこととされているが、一旦有
事が発生してしまった場合の相互の責任関係については、必ずしも明確にされ
ていない。また参考となる判例等も見当たらない。
このような環境下、内閣サイバーセキュリティセンター(NISC)より発出
された 2021 年 4 月 30 日付通知「ランサムウェアによるサイバー攻撃に関する
注意喚起」5の中で、Fortinet 製 VPN 装置(CVE-2018-13379)等の脆弱性
WIRED「ランサムウェア集団による“オンライン恐喝”が、さらに凶悪化する新局面に突入した」
(2023
年 3 月 16 日)https://wired.jp/article/ransomware-tactics-cancer-photos-student-records/
2 日本経済新聞(2022)
「身代金ウイルス、悪質に 機密暴露の「二重恐喝」6 割」
(2023 年 3 月 20 日朝
刊)https://www.nikkei.com/article/DGKKZO69413860Z10C23A3CM0000/
3 BlackBerry(2022)
「グローバル脅威インテリジェンスレポート」
https://www.blackberry.com/ja/jp/solutions/threat-intelligence/2023/threat-intelligence-report-jan-jp
4 警察庁(2022)
「令和 4 年上半期におけるサイバー空間をめぐる驚異の情勢等について」
(2022 年 9 月
15 日)
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf
5 4 頁に抜粋を掲載。https://ajhc.or.jp/siryo/20210430-4.pdf
1
2