医療（システム）先進国はサイバー攻撃被害先進国

　「病院セキュリティ」についての議論は、今に始まったものではない。病院や医療システムのIT化が進む欧米では、医療端末・医療機器のハッキング、ランサムウェア感染は日本より何年も前に顕在化・問題化しており、組織的な対策、システム上の対策が進んでいる。

　サイバー攻撃ではないが、病院による特殊なシステムが被害を拡大した例として、2017年に米国で起きた「オピオイドクライシス」が挙げられる。処方・副作用の説明や周知が不十分なまま鎮痛剤「オピオイド」が大量に処方され、中毒・後遺症の被害者が続出。死者だけでも5万人を超える薬害となった。原因は、製薬会社が副作用の情報を正しく医師や病院に提供しなかったこと。

　米国では、クリニックでも初期診断、処方にAIを含むシステムを利用する。そのため間違った処方であっても、システムを通じた大量処方、適用外処方によって、あっという間に蔓延してしまう。しかも、製薬会社は初期診断システムベンダーやデータプロバイダーに処方を増やすためのインセンティブを与えていたとされる。オピオイドは本来処方すべきでない患者の投薬候補リストの上位にくるように操作されていた。

　サイバー攻撃の例では、2022年10月には、米国の大手医療健康システムがサイバー攻撃に遭い、140以上の病院で治療や手術に影響が起きている。2021年、病院関係の情報漏えいは600件、クリニックや中規模病院の48％が過去半年になんらかのサイバー攻撃で業務を止めたことがあるという統計もある。

　医療先進国は同時にITシステム化も進んでおり、サイバーインシデント・アクシデント先進国でもある。

日本でも深刻化する病院サイバー攻撃

　日本は、欧米ほど医療システムのオープン化、統合化が進んでいない。先進の医療機器の導入は進んでいるが、それらはスタンドアローンタイプが多く、病院ネットワークと連携するものは一部だ。

　電子カルテの普及率も、400床以上の大病院では9割を超えるが、一般病院では50％前後だという。しかも処方箋、会計、保健システムと統合・連携させている医療機関は多くない。ただし、これには予算確保など病院経営の問題の他、診察や処方などプライバシーにかかわる情報のため、広域連携が難しい背景もある。

　いずれにせよ、日本の医療システムは典型的なサイロ型のシステム構築が多く、インターネット接続が限定的であり、病院ごとのカスタマイズや独自設計システムになりがちである。これはセキュリティ的に有利な面もある。だが一方で、日本の医療システムのセキュリティ対策が進まない原因にもなっている。

　システム上、サイバー攻撃の標的になりにくいものの、インターネット等への接点がまったくないわけではない。業務用PCや予約システムなどは、インターネット接続は要件として不可欠なのは言うまでもない。結果として、病院へのランサムウェア攻撃が大きな問題となっている。

　なお、念のため補足しておくが、病院サイバー攻撃が増えているのは、攻撃者が日本の医療機関をピンポイントで狙い始めているからではない。不特定多数を狙った従来型のランサムウェアが、病院にも被害を及ぼし始めたという解釈が正しい。

【次ページ】日本中が注目した半田病院のインシデントに潜む対策のヒント