『マイナ保険証』の「セキュリティは病院に“丸投げ”」大きな負担に診療所院長が苦慮 対策不足だと被害者なのに罰せられる恐れも
■サイバーセキュリティ対策“丸投げ”で医療機関が悲鳴「罰せられてしまう」
そして、山崎医師が「マイナ保険証の義務化」で、最も医療機関の負担になると懸念するのが、「サイバーセキュリティ対策」だ。 山崎利彦医師: 現在、個人情報をデジタル化して取り扱う業者のすべてに、サイバーセキュリティ対策が義務付けられています。オンライン資格確認は、患者さんの個人情報をオンラインで扱う訳ですから、当然、医療機関にはセキュリティ対策の義務が発生します。 具体的には、例えば「院内の回線図の作成」。端末やプリンターがどうつながっているのか、アクセスする権限があるのは誰でパスワードはどうしているのか、といった事細かな情報をマニュアル化します。さらに、従業員向けの講習会を開かなければいけません。 デジタル庁は、「専門業者を雇って、年に2回ぐらい講習をやってもらうのがいいでしょう」と推奨していますが、これはもう、個人の診療所でできる範囲を超えています。 今、医療機関はオンライン資格確認に対応することでいっぱいいっぱい。とてもセキュリティ対策まで手が回りません。 国はオンライン資格確認導入を半ば強引に進めました。今回の判決でも、医療機関のデジタル化は義務ということなので、セキュリティ対策も自動的に義務になります。 ところがセキュリティ対策は、われわれ個々の医療機関に丸投げです。面倒をみてくれないどころか、仮にサイバー攻撃を受けたとして、われわれは被害者になるはずなのに、対策をしていなかったということで罰せられてしまうのです。 義務化して、法律を作っておいて、しかしその後の肝心な部分は医療機関に丸投げ。補助金が出るわけでもない。 日本のデジタル化の“一丁目一番地”としてマイナ保険証を使うのであれば、セキュリティ対策などまで含めたサポート体制を整備していただきたいです。
■個人の診療所もハッカーから攻撃される
山崎利彦医師: セキュリティ対策がきちんとされているか、実際に国からのチェックを受けるのは、「病院」など一定以上の規模の施設です。だから多くの「診療所」は油断しているケースが多い。 (※病床20床以上が「病院」、「診療所」は病床がそれ以下であったり、入院設備がない施設を指す) しかしこの数年で、いくつもの小規模な診療所がサイバー攻撃を受けているのです。未公表のケースが多いのですが、被害を受けた医療機関の3割近くが診療所でした。 海外のハッカーがどうやって攻撃対象者を見つけるのかというと、医療機関のホームページに載っている建物の見た目だったりするそうです。 外観が立派だと、その中の一部を借りている個人の診療所なのか、大きい病院なのか、海外の人間には分からない。なのでホームページに出ている写真を見て、「ここはお金がありそう」と攻撃をしかけてきているという報告が上がっています。 とにかく今は、個人の診療所も油断できないのです。
