よむ、つかう、まなぶ。
サイバー事故に関しシステムベンダーが負う責任:医療DXを推進するために (4 ページ)
出典
公開元URL | |
出典情報 | サイバー事故に関しシステムベンダーが負う責任:医療DXを推進するために(8/24)《日本医師会総合政策研究機構》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
が、具体名を明示して指摘された。厚生労働省ではこれを受け、各都道府県衛
生主管部を通じて医療機関に周知すべく、同年 6 月 28 日及び 11 月 26 日の 2
回に亘り、通知を発出した6。しかし医療機関への周知は徹底されておらず、医
療機関と医療情報システムの保守契約を結び当該 VPN 装置を設置したシステ
ムベンダーからも脆弱性に関する情報提供がなされないまま、同装置の脆弱性
を突いたサイバー事故*5 頁注 1 が同年 10 月以降、頻発した(本稿では「特定類
型のサイバー事故」と称する)。
特に、徳島県つるぎ町半田病院でのサイバー事故(2021 年 10 月末発生)で
は、Fortinet 製 VPN 装置の脆弱性を突かれたことが広くマスコミ報道され世
間の注目を集めたにもかかわらず、その後も同じ Fortinet 製 VPN 装置の脆弱
性を突かれた事故が立て続けに発生している。
当該 Fortinet 製 VPN 装置は、医療機関にかなり広く採用されているとの情
報もあり、未だに脆弱性への対策が取られないままの医療機関が存在すること
が懸念される*5 頁注 2。
そこで、本稿ではまずは医療機関、システムベンダーそれぞれのサイバーセキ
ュリティ対応に関する責任を整理し、加えて、並行して実施した医療機関に対す
るサイバー攻撃(ランサムウェア)事案における医療機関、システムベンダーの
関係の実態を概観し、両者相互の責任関係に関する問題意識を提示したい。
6
厚生労働省医政局研究開発振興課 医療情報技術推進室 事務連絡「医療機関を標的としたランサムウェ
アによるサイバー攻撃について (再注意喚起)」
(2021 年 11 月 26 日)
https://www.city.kawagoe.saitama.jp/jigyoshamuke/hokeneisei/jigyosha/iryoukikan/iryoukikannhen
otuti3.files/R3.11.24rannsamu.pdf
3
生主管部を通じて医療機関に周知すべく、同年 6 月 28 日及び 11 月 26 日の 2
回に亘り、通知を発出した6。しかし医療機関への周知は徹底されておらず、医
療機関と医療情報システムの保守契約を結び当該 VPN 装置を設置したシステ
ムベンダーからも脆弱性に関する情報提供がなされないまま、同装置の脆弱性
を突いたサイバー事故*5 頁注 1 が同年 10 月以降、頻発した(本稿では「特定類
型のサイバー事故」と称する)。
特に、徳島県つるぎ町半田病院でのサイバー事故(2021 年 10 月末発生)で
は、Fortinet 製 VPN 装置の脆弱性を突かれたことが広くマスコミ報道され世
間の注目を集めたにもかかわらず、その後も同じ Fortinet 製 VPN 装置の脆弱
性を突かれた事故が立て続けに発生している。
当該 Fortinet 製 VPN 装置は、医療機関にかなり広く採用されているとの情
報もあり、未だに脆弱性への対策が取られないままの医療機関が存在すること
が懸念される*5 頁注 2。
そこで、本稿ではまずは医療機関、システムベンダーそれぞれのサイバーセキ
ュリティ対応に関する責任を整理し、加えて、並行して実施した医療機関に対す
るサイバー攻撃(ランサムウェア)事案における医療機関、システムベンダーの
関係の実態を概観し、両者相互の責任関係に関する問題意識を提示したい。
6
厚生労働省医政局研究開発振興課 医療情報技術推進室 事務連絡「医療機関を標的としたランサムウェ
アによるサイバー攻撃について (再注意喚起)」
(2021 年 11 月 26 日)
https://www.city.kawagoe.saitama.jp/jigyoshamuke/hokeneisei/jigyosha/iryoukikan/iryoukikannhen
otuti3.files/R3.11.24rannsamu.pdf
3