病院のサイバーセキュリティ対策コスト、500床以上病院では1億3000万円程度となり公的支援が必要―四病協
2022.3.24.(木)
病院のサイバーセキュリティ対策を確実に行うには相当の費用が必要となる。医療は国の重要なインフラストラクチャーであることから、サイバーセキュリティ対策の費用について国による支援(公費補助)を行ってほしい―。
3月23日に開催された四病院団体協議会の総合部会で、こうした内容を盛り込んだ「要望書」を採択。近く、後藤茂之厚生労働大臣に宛てて要望書を提出します。
医療法人の事業報告書、デジタル化し公表することについて病院サイドの意向を調査
Gem Medで繰り返し報じているとおり「医療分野でのサイバーセキュリティ対策」を急ぐ必要があります。「ランサムウェア」の攻撃などにより、従前のコンピュータウイルスによる個人情報流出などとは比べ物にならない甚大な被害が生じているためです。
ランサムウェア(Ransom(身代金)+Software(ソフトウェア)の造語)はコンピュータウイルスの1種で、例えば組織(ここでは病院)の保有するデータを暗号化してしまい、「暗号を解いて欲しければ多額の費用(身代金)を支払え。言うことを聞かなければ機密データをばらまき、データを使えなくしてやる」などと脅してくる犯罪に使われています。海外はもちろん、我が国でもこのランサムウェアによる被害が急増しており、2021年秋には徳島県の病院がランサムウェア攻撃を受け、患者の電子カルテをはじとする医療データがすべて暗号化され病院で利用できなくなってしまう(病院側でデータを見ることができなくなり、実質的に消失した形)という大きな事件が起きました。当該病院では院内システムが利活用できなくなったことから数日間、「新規患者の受け入れ停止」「救急患者の受け入れ停止」をせざるを得ず、地域医療提供体制にも大きな影響が生じる事態となりました。
このため国は、ランサムウェア対策などを盛り込んだ「医療情報システムの安全管理に関するガイドライン」改訂作業を進めており(近く決定)、また医療を含めた14重点分野については、この4月(2022年4月)からサイバーセキュリティ対策が義務化されます。
しかし、医療現場の実態を見ると「十分なサイバーセキュリティ対策話されていない」のが実態です。このため急ぎ「サイバーセキュリティ対策を強化する」(システムの更新や、診療データのバックアップなど)ことが必要ですが、病院からは「そうした余力がない」との声が聞こえてきます。
日本病院会、全日本病院協会、日本医療法人協会、日本精神科病院協会の4団体で構成される四病院団体協議会でも、この問題を重視。2月16日の総合部会(各団体の会長、副会長をはじめとする幹部で医療に関する重要問題への意見交換を行い、一定の方針等を決定する会合)では「サイバーセキュリティ対策の費用について国による支援(補助)を求めるべきではないか」との見解で一致。あわせて四病協に「サイバーセキュリティ対策に関する委員会」を設置し、国に対する具体的な要望内容を検討することとなりました。
今般、委員会で意見がまとまったことを受け、後藤厚労相に「サイバーセキュリティ対策費用に関する緊急的な補助を行ってほしい」との要望を行うことを正式決定しました。近く要望書が厚労相に宛てて提出されます。
また、四病協では、こうした要望を行う前提として「病院におけるサイバーセキュリティ対策の現状はどうなっているのか」や「十分なセキュリティ対策を行うためにどの程度の費用が必要になるのか」といった点についてアンケート調査を行っています。四病協会員5596病院のうち、1144病院・20.4%が回答を行い、その結果も併せて公表されました(日本病院会のサイトはこちら)。
そこでは、多くの病院が「サイバーセキュリティ対策の必要性・重要性を認識している」ものの、費用捻出が難しく「対策を実行できていない」状況が浮き彫りになっています。
3月23日の総合部会終了後に記者会見を行った日本病院会の相澤孝夫会長は、アンケート結果を踏まえると、「十分なサイバーセキュリティ対策を行うためのコスト」は、病床規模別に1病院当たり次のようになるとの試算結果を明らかにしています。
▽20-99床:810万円程度
▽100-199床:1700万円程度
▽200-299床:2600万円程度
▽300-499床:5000万円程度
▽500床以上:1億3000万円程度
このほか3月23日の四病協・総合部会では「医療法人の事業報告書などをデジタル化して公表し、将来的にはデータベース化していく」厚労省方針について、四病協会員病院がどのように考えているのか(国は大方が「賛成」としているが、本当に賛成しているのか?)をアンケート調査する方針も固めています。
【関連記事】
「病院のサイバーセキュリティ対策」費用、国による支援が必要不可欠―四病協
ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング