メディカルITセキュリティフォーラム、第4回セミナーを開催

2015.08.21

一般社団法人メディカルITセキュリティフォーラムによる第4回セミナーが開催された。医療データをサイバー攻撃などから守るために、情報セキュリティやリスクマネジメントの大切さについて、講演やパネルディスカッション、総合討論会が行われた。

深津 博氏
平井正明氏
野津 勤氏
金児 茂氏
中安一幸氏
会場風景

 一般社団法人メディカルITセキュリティフォーラムによる第4回セミナーが2015年8月8日に富士ソフトアキバプラザセミナールーム(東京都千代田区)にて開催された。同法人は2014年8月に発足。医療界においてサイバー攻撃の実情や最新のガイドラインの状況、警察の対応、事業者としての対応等について、医療機関や関係機関が正しい判断を行うことができる環境を整える中立的な団体が必要であると考え、関係各機関や事業者と共同して最新かつ正確な情報を発信することにより啓発活動を行うことを目的に、有志により発足された団体である。
 開会の挨拶では同法人理事長の深津 博氏(愛知医科大学医療情報部長・特任教授)が壇上に上がり、診療データや患者情報などを守る上で情報セキュリティがいかに大事かについて、会場に集まった参加者と共に考えていきたいと話した。
 また、平井正明氏(一般社団法人電子情報技術産業協会・前医療ソフトウェア専門委員会委員長)による特別講演「医薬品医療機器法と医療機器の情報セキュリティについて」では、2014年11月25日に薬事法が改正されて「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」となったことで、従来はソフトウェア部分のみでは薬事法の規制対象とならず、ハードウェア部分に組み込んだ形で規制されていたが、改正後の法律では、ソフトウェアを単体で流通することを可能とし、「医療機器プログラム」として規制対象になったことや、規制に該当するプログラムとしないプログラム、リスクマネジメントなどについて講演が行われた。
 次にパネルディスカッションが行われ、3名による発表が行われた。
 まずは深津氏による「医療機器・システムに関する情報セキュリティの現状と対策について」。24時間365日稼働が求められる医療機関の業務システムのオンラインの遠隔保守に関連するセキュリティ対策とポリシーについて、愛知医科大学病院の保守契約をしている38事業者にアンケートを行った結果と現状の課題などについての考察が行われた。結果として多くの事業者は保守拠点を国内に置き、保守要員は11~50人体制で多くが正社員だが、一部委託会社や契約社員なども混在しているという。拠点部屋の入退室管理と盗難防止措置は大半で実施され、監視カメラや生体認証は少数で、病院専用の端末を用意している事業者は皆無であった。また、脆弱性対策については出荷時には脆弱性対策を行っていても、その後はユーザ責任としている事業者が約半数であった。この結果を受け、深津氏はユーザとして、保守契約時に保守体制の具体的な確認・変更時の通知義務を盛り込む。脆弱性対策のポリシーについて、出荷時及び出荷後の責任範囲や有償・無償に関して明確化する「責任分界点」について、ユーザ・事業者の双方に共通する課題として対策を行う必要があると結んだ。
 続いて、野津 勤氏(一般社団法人保健医療福祉情報安全管理適合性評価協会理事・事務局長)が「Cybersecurity管理に関する規制」について講演を行った。同氏は講演の中で、Cybersecurityに関係する事故例が社会的関心を呼んでいる昨今の状況の中で、Cybersecurity管理に関する規制がどのようになされているのかについて、FDAの認知基準であるIEC80001-1/-2-2やMDS2、IEC62443の概要について解説を行った。
 3番目に「医療・ヘルスケアにおける情報セキュリティ:運用面での課題と対策」と題して金児 茂氏(三井物産セキュアディレクション)が講演した。金児氏は情報セキュリティについて、自身が設計開発に携わった佐渡地域医療連携システム「さどひまわりネット」を例として挙げながら、その運用面での課題と対策について話した。
 最後は中安一幸氏(厚生労働省)を座長に迎え、講演を行った平井氏、深津氏、野津氏、金児氏らによる総合討論会が行われた。パネリストである4人が行ったそれぞれの講演に対し、中安氏による鋭い指摘が飛び、セキュリティやリスクマネジメントなどについて、白熱した議論が展開された。