［おうちで透析　インタビュー　医療DX⑧］

• 医療法人明洋会　理事長　柴垣 圭吾 様
• 医療法人明洋会　IT担当　臨床工学部　統括部長　市川 匠 様

聞き手：

• 医療コンサルタント　大西 大輔（MICTコンサルティング株式会社 代表取締役）

大西: 最近、サイバーテロが増えています。IT担当者がいない、あるいは一人しかいないということもあり、徳島の病院がサイバーテロに遭いました。その結果、2ヶ月間、病院がほとんど開店休業みたいなことが起きたという事件がありました。

これはどの病院でも起こることですか。

市川さん: 起き得ますね。

これも5、6年ぐらい前のイベントで呼ばれた時にも言っているのですが、アメリカでは20年ぐらい前から医療機関がむしろ狙い撃ちにされています。

医療機関は普通の企業よりもよっぽどルーズで個人情報を持っていて、更に金払いが良いですからね。また、「そんなことに屈しません」というスタンスではなく、患者さんの手前もあり、お金を払ってしまうケースも多いので、ものすごく件数が多いのです。

サーバーに侵入されました、とか、データが漏洩しました、という情報を流してくれるISACという情報機関もあり、毎日レポートを送ってくれます。

医療の脆弱性レポートのようなものも送ってくれるのですが、多分そういうものですら、大きい病院でも未だに見ている担当者がいないのではないかな、というのが日本の遅れた現状です。

ですから、正直なところランサムウェアみたいなもので脅迫されるという事件が起きた時に、何の驚きもなかったです。「やっと来たのね」くらいの感じです。

これからどんどんやられるとしか思っていません。医療IT担当者を置いていない大きい病院がまだ結構あると思うのですが、担当者を置いたから良いか、という問題でもありません。

少なくともそれに備えるにはどうすればよいのかということは、しっかりと病院として普通の災害対策を行う必要があります。

例えば、停電だとか地震のときにどうするのか、という話と同じぐらいのレベルで、サイバーテロについても普段から話し合っておかないと、この間の徳島の病院のようになってしまいます。

場合によっては、取られた個人情報を流されて被害に遭う方達が出てくるということは十分にあり得ます。

更に言うと、僕自身が一番怖いなと思っているのは、個人情報を盗まれるよりも、本当のテロです。

情報が書き換えられて痕跡にも気が付かなかったら大変です。例えば愉快犯的にアレルギー情報みたいなのをめちゃくちゃに変えられてしまう、などです。

また、例えば、自分が癌でいくばくもないという人がいて、コンピュータに詳しく、世を儚んで道連れにしてやる、のようなことをもし考えたとしたら、とんでもない医療事故を起こす可能性が出てきます。

そのような点ではもう少し感度を上げて対策を練っていかなければならないのではないかなと個人的には思っています。

そういうことは色々な職能団体の上の方であるとか、厚労省でも話は出ているのですが、動きは遅く、話している間にどんどんやばくなっているというのが実際の現場にいて思う感想なので、非常に怖いところですね。

大西: 話を最初に戻すと、オンライン資格確認や、オンライン診療、マイナ保険証など制度はどんどん変わるに、医療現場は変わらない、というところに実は大きな闇があります。

要は外側だけ変えても、一番大事な「情報どう守るの」というところや、人の育成をどうするのか、ということは、少し置き去りになっているのではないかと思います。

私は医療の現場が、ITの強い人たちにとって一番楽しいとか使命感を持って仕事ができる場所だと思いますが、魅力がまだないのかな、という感じがします。

これからIT好きな人が医療機関に勤めるケースがもっともっと増える、というのが新しい流れなのかなと思います。