よむ、つかう、まなぶ。
サイバー事故に関しシステムベンダーが負う責任:医療DXを推進するために (8 ページ)
出典
| 公開元URL | |
| 出典情報 | サイバー事故に関しシステムベンダーが負う責任:医療DXを推進するために(8/24)《日本医師会総合政策研究機構》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.考察の手順
サイバー攻撃を受けた3つの医療機関のランサムウェア感染事例について、日
医総研によるインタビュー調査8が2022年度に実施された。何れのケースも、
2021年4月30日付内閣サイバーセキュリティセンター・重要インフラグループ発
信「ランサムウェアによるサイバー攻撃に関する注意喚起」において公表され、
「ソフトウェアや機器等の脆弱性」が機器を特定して指摘されていたFortinet製
VPN装置(CVE-2018-13379)に起因したサイバー攻撃であった。
その調査結果と、事故報告書が公表されている徳島県つるぎ町半田病院の事
例を加えた4医療機関について明らかになった実態は、以下(1)~(3)の通りであ
った。
なお、何れの事例でも、患者等の個人情報漏洩の事実は確認されていない。
また、時系列で整理すると、4事例とも上記情報公表後(2021年4月30日~)
に発生し、さらに言えば、うち2事例は、徳島県つるぎ町半田病院へのサイバー
攻撃が事件として報道された後(2021年10月末~)に発生した。
(1) 医療機関とシステムベンダーとの間の保守契約上、医療情報システムに
係るソフトウェアや機器等のサイバーセキュリティ上の脆弱性(以下「当
リスク」)に関する情報の通知義務が明記されている医療機関はなかった。
(2) 上記情報公表から事故発生までの期間において、システムベンダーが事
前に医療機関に上記情報を知らせていたのは1事例だけであった。
(3) サイバー攻撃により医療機関に発生した直接の損害について、システム
ベンダーがその一定割合を負担したのは1事例だけであった。
日医総研(2022)リサーチレポート No.136「医療機関へのサイバー攻撃の事例研究:民間病院・診療
所の被害事例に学ぶ」
(2023 年 4 月 11 日)
8
7
サイバー攻撃を受けた3つの医療機関のランサムウェア感染事例について、日
医総研によるインタビュー調査8が2022年度に実施された。何れのケースも、
2021年4月30日付内閣サイバーセキュリティセンター・重要インフラグループ発
信「ランサムウェアによるサイバー攻撃に関する注意喚起」において公表され、
「ソフトウェアや機器等の脆弱性」が機器を特定して指摘されていたFortinet製
VPN装置(CVE-2018-13379)に起因したサイバー攻撃であった。
その調査結果と、事故報告書が公表されている徳島県つるぎ町半田病院の事
例を加えた4医療機関について明らかになった実態は、以下(1)~(3)の通りであ
った。
なお、何れの事例でも、患者等の個人情報漏洩の事実は確認されていない。
また、時系列で整理すると、4事例とも上記情報公表後(2021年4月30日~)
に発生し、さらに言えば、うち2事例は、徳島県つるぎ町半田病院へのサイバー
攻撃が事件として報道された後(2021年10月末~)に発生した。
(1) 医療機関とシステムベンダーとの間の保守契約上、医療情報システムに
係るソフトウェアや機器等のサイバーセキュリティ上の脆弱性(以下「当
リスク」)に関する情報の通知義務が明記されている医療機関はなかった。
(2) 上記情報公表から事故発生までの期間において、システムベンダーが事
前に医療機関に上記情報を知らせていたのは1事例だけであった。
(3) サイバー攻撃により医療機関に発生した直接の損害について、システム
ベンダーがその一定割合を負担したのは1事例だけであった。
日医総研(2022)リサーチレポート No.136「医療機関へのサイバー攻撃の事例研究:民間病院・診療
所の被害事例に学ぶ」
(2023 年 4 月 11 日)
8
7