2022年6月7日、岸田政権は「骨太の方針2022」1)を閣議決定しました。その中で注目されるのは、総理を本部長とする「医療DX推進本部」の設置です。
このことが介護医療業界にとってどういう意味を持つのかを理解するためには、次の3点が複合した状況を整理する必要があります。
①ハイテク/サイバー戦闘が戦時と平時の境目をなくした
②日本の安全保障環境の激変
③コロナ禍が医療費40兆円の抜本改革の扉を開いた
内容が福祉分野から少し外れますがお付き合いください。
ハイテク/サイバー戦が、戦時と平時の境目をなくした
話題のビッグデータ解析の分野では、世界的にパランディア社が有名です。日本でもSOMPOホールディングス(HD)と介護データ解析の合弁会社を設立し、傘下の介護事業の業務効率化を進めています。
実はパランディア社の躍進のきっかけは、2001年に発生した米同時多発テロです。当時、テロ実行犯の計画や情報の断片は政府機関内の各部門で事前に入手されていましたが、巨大組織で扱う情報は膨大です。人間の処理能力を超えて分散して存在していたため、データを選り分け統合することができず、テロ発生を防止できなかったのです。
パランディア社のデータ解析ツールは2003年にCIAやFBIで採用され、テロ掃討や犯罪捜査に採用され実績を積んでいます。アフガニスタンでは軍事作戦で利用され、データ解析により2011年のウサマ・ビンラディン潜伏先選定に威力を発揮しました。さらにコロナ禍では、英国の国民医療制度(NHS)のワクチン接種配布システム最適化シミュレーション環境の構築をその技術で支援しています。
私たちがカーナビで利用しているGPS、衛星監視情報、画像認識技術などの基礎技術は、冷戦期に軍事目的で開発されたものが民生利用で高度化したもので、デジタル技術に軍民の線引きはありません。ウクライナ侵攻では、戦端の開かれた2月24日よりも1カ月以上前からマルウエア(身代金要求型ウイルス)入りの虚偽メールが大量に送りつけられていて、サイバー戦はすでに始まっていました。また開戦前日である23日には、政府機関機能の麻痺や銀行ATMへの現金引き出しを妨害して、市民の不安感や行政への不審感を煽ることを目的とした300を超えるDos攻撃(大量の通信を送り回線をパンクさせる攻撃手法)が発生しています。
徳島県つるぎ町立半田病院へのサイバー攻撃事件
2021年10月末、つるぎ町立半田病院がサイバー攻撃を受けて病院のシステムが動かなくなり、2カ月間も新規患者の受付や通常業務が麻痺状態となりました。片田舎の金銭的余裕のありそうもない中小の病院が狙われたのです。半田病院は、事件発生の最初から災害対策委員会を立ち上げ「業務継続計画(BCP)」に基づき記者会見を開いて、身代金には応じない方針を明確に発表しました。
今年6月15日には、この事件の詳細な報告書2)が一般公開されています。それによると侵入され被害が拡大した原因は、2000年に導入した報酬請求システムを温存するため院内端末全てのOS更新をせず、ウイルス対策ソフトさえも止めたことにありました。病院関係者は、院内ネットが外部ネットワークと完全遮断された閉鎖システムであることを過信していたのですが、実際には請求ソフト会社がリモート保守に使用していた外部回線(仮想プライベートネットワーク〈Virtual Private Network:以下、VPN〉でインターネットに接続されていたのです。
半田病院は自治体が設立し、地域拠点病院となっていました。運営予算は、町議会から支出されます。町議会からはコスト削減はうるさく言われますが、サイバー攻撃など新しい事業リスクへの対策は、個人情報保護に配慮するように要請される程度で、予算がつけられるわけではありません。請求ソフト会社や電子カルテシステム納入業者もコストダウンへの協力を言われるだけですから、保守契約の内容もそれに合わせて最低限となります。
2019年5月にVPNの脆弱性が把握されてから、事件発生前である2021年9月までの間に、製造元からは5回警告文が出されていました。しかしシステム納入業者は、契約に病院側への警告義務やソフト更新義務がなかったため、結果的に放置していました。
半田病院は、事件発生時にシステム納入業者へ専門技術者の派遣を要請しましたが、無料で派遣して対応するような契約もありませんでした。その結果、技術者は派遣されず「機器を取り外し業者に送付すればデータ救出に努力する」という対応だけでした。幸いデータは、2018年のバックアップと2カ月かけて業者が救出した分を組み合わせ復旧されました。
ただしシステム納入業者には、サイバーセキュリティの専門知識はありません。病院スタッフに助言した初期対応に問題があり、犯罪組織が残したログ(機器にアクセスした記録)が消去されてしまい、詳細な侵入の記録は保存されませんでした。
病院システムは、放置されたVPNの脆弱性とほぼ初期設定のままのセキュリティレベルの弱さをついて侵入されたと推測されました。実際に、これを裏付けるようにダークウェブ(インターネットの闇市場)上では、半田病院を含んだ多数のVPNのセキュリティーホールリストが、売り買いの対象になっているのが確認されています。
注目されるのは、日本政府に助言している日本サイバーディフェンス(NCD)関係者が、この事件について指摘している内容3)です。ロシア政府がサイバー攻撃を手伝わせているネット犯罪組織が好むのは、医療、教育、インフラ、法律、金融に関連する組織であり、時代遅れのサイバー防御が大半であるこの分野を足場にされる恐れが高いとみているのです。
閉鎖システムへの過信でセキュリティ対策がおざなりな
日本の現状が狙われている
日本の医療福祉関係者にとって、パソコンは診療や介護の報酬請求に利用するだけのものなので、サイバー攻撃についてはほとんど他人事でした。サーバーなどの端末は、限られたスタッフだけが立ち入りを許されたエリアに設置されています。基本的に外部に公開されていない院内ネットは、物理的にも守られ防御力があるような気になり過信していたからです。
しかし実際には、半田病院もそうであったように業者につながなくては保守できないため、完全な閉鎖システムはあり得ません。中小規模の病院や福祉施設では、少しパソコンに詳しい程度の庶務係が一人でIT担当を兼務していて、日常業務や報酬請求に支障が出ないようにしているだけです。本格的なセキュリティ対策など、とても手が回りません。たとえその気があっても、庶務係の立場では医師が論文作成のためデータを持ち出すことについて警告したり、外部USBメモリーの利用制限などを提案したりする程度です。
また、今までネット犯罪組織は主にロシアやベラルーシなどで活動し、ロシア政府の庇護のもと、言語の近い欧米を標的にしていました。幸いなことに日本語は苦手であり、文言たくみに仕事や取引先のメールを装ったつもりでも、そこに書かれている日本語が稚拙なため、受け手側も危険を察知できたのです。
サイバー犯罪が続く欧米では、被害の蓄積で経験値が高くなり、近年では防御も強固で費用対効果が落ちてきています。コロナ禍で在宅勤務が増え、それが新たな脆弱性を生んで収入増につながりましたが、先細りに陥っています。
そこで犯罪組織が目をつけているのが、AI自動翻訳の高度化やプロの翻訳者のアフリエイト(在宅ワークの副業)です。最強の防護壁である日本語の壁が崩れれば、アジア圏の中でも日本はランサムウエア攻撃に対する警戒心や防御体制が一般的に低い上に、欧米に比べれば安易に身代金要求に応じることが多いので、新たな進出先にできると期待しているのです。
医療・福祉施設のランサムウエア被害は、半田病院だけではありません。警察庁が把握しただけでも2021年に医療法人や教育機関で12件、病院では5件が報告4)されています。
サイバー攻撃への備えのために
医療介護福祉事業所の機器更新が必要
岸田首相は外交や防衛分野で得点を稼ぐつもりですが、安全保障の大幅な強化に向けて、デジタル庁で最新鋭に整備させた政府省庁ネットへ医療介護関連からのデータを接続する前にやらなくてはいけないことができました。
すでに国内の大規模医療機関を標的としたサイバー攻撃は前年比4倍と激しくなっており、日本経済新聞が独自にダークウェブを調査5)しただけでも、国内の大規模病院(地域医療支援病院)100カ所のうち3カ所について、すでに侵入に成功したプログラムが販売されており、3分の2で職員のパスワードが漏洩しています。中小規模の病院よりもシステム維持に費用がかけられているはずの大規模病院にして、このあり様です。
「サイバー戦に備えた国防上のリスク低減」や「インフラが停止しないようにするセキュリティ対策」のためにも、接続先の機器を足場に侵入されないように整えることが必要です。そして病院や介護事業者の所有システムは、一時的に最新の状態に保てば良いわけではありません。今後も継続的にデータ連携するのですから、欧米並みに継続してサイバーセキュリティ対策に投資させるようにする必要があるのです。
引用・参考文献
1) 内閣府:経済財政運営と改革の基本方針2022新しい資本主義へ〜課題解決を成長のエンジンに変え、持続可能な経済を実現【骨太の方針2022】 概要,P.6(2022年6月7日)
https://www5.cao.go.jp/keizai-shimon/kaigi/cabinet/2022/summary_ja.pdf
(2022年8月閲覧)
2) つるぎ町立半田病院:徳島県つるぎ町立半田病院 「コンピュータウイルス感染事案有識者会議調査報告書」(2022年6月7日)
https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf
(2022年8月閲覧)
3) 日本経済新聞:7面【FT】日本襲うランサムウエア「言葉の壁」崩れ、危機感も低く(2022年6月24日)
4) 日本経済新聞:ランサムウエア被害急増、21年146件警察庁まとめ(2022年2月10日)
5) 日本経済新聞:電子版[有料会員限定]病院に相次ぐサイバー攻撃 遅れる医療の防衛、日経調査 大規模3病院に侵入 3分の2でパスワード漏れも(2022年5月28日) |
