2025 年 08 月 20 日
医療 DX 推進で医療機関が取るべきサイバーセキュリティ対策とは?
~医療 DX のセキュリティモデル確立への多大な貢献を評価、 JAHIS 功績賞・奨励賞 2025 受賞のサイバートラスト社員に聞く~
昨今、医療機関でのランサムウェア被害が急増しています。医療機関には要配慮個人情報など攻撃者のターゲットになりやすいデータが保有されていることから、情報漏洩や診療の停止など被害の影響は深刻です。中でも遠隔保守(リモートサービス)回線や VPN 機器の脆弱性の隙をついたサイバー攻撃が増えており、厚生労働省や JAHIS(一般社団法人保健医療福祉情報システム工業会)ではガイドラインを改訂するなど、医療業界のセキュリティ強化を促しています。
2025 年 6 月、サイバートラスト社員の松本義和が「JAHIS 功績賞・奨励賞」を受賞しました。松本は、JAHIS/JIRA ※1 合同リモートサービスセキュリティ作成 WG (ワーキンググループ)のリーダーを長年務め、医療 DX を普及・推進する上で不可欠な「リモートサービス セキュリティガイドライン」を策定するなど、保健医療・介護業界への多大な貢献が評価され、このたびの受賞となりました。同 WG の発足当初から医療機関におけるリモートサービスのセキュリティ強化とガイドライン策定に携わってきた松本に、受賞の背景と医療機関が直面する課題、医療 DX に必要なセキュリティ対策を聞きました。
※1 JIRA :一般社団法人 日本画像医療システム工業会
サイバートラスト株式会社 プリンシパルセキュリティアーキテクト
松本義和(まつもと・よしかず)2000 年、医療機器メーカーにシステムエンジニアとして入社。同年、JIRA のリモートサービスセキュリティ WG でリーダーを務める。2006 年、サイバートラストに転職後は、公開鍵基盤(PKI)のスペシャリストとして活躍する傍ら、JAHIS との合同 WG となった同 WG の活動も継続し、25 年以上にわたり情報セキュリティ技術の啓発活動に携わる。現在は医療・通信・金融といった重要インフラ領域の情報セキュリティ対策をメインにシステム開発、コンサルティング、セミナー講演での登壇など幅広く活動中。
本格化する医療 DX をセキュリティ面から支える
―― JAHIS 標準の「リモートサービスセキュリティガイドライン」策定による貢献が、「JAHIS 功績賞・奨励賞 2025」受賞理由の1つとなりました。「リモートサービスセキュリティガイドライン」とはどのようなものでしょう?
松本義和(以下、松本) 医療機関の管理者とリモートサービス(遠隔保守)を行うベンダーが、ISMS(情報セキュリティマネジメントシステム)の手法に基づいてリスクアセスメントを実施し、セキュリティ対策を講じるための実践的な指針です。リモートサービスを行う上で、攻撃者に狙われやすいセキュリティホールを極限まで低減することを目的にしています。
今回の受賞では、情報セキュリティに関するガイドラインの整備が一定の評価を得ました。「リモートサービスセキュリティガイドライン」は、医療 DX や救急医療におけるリスクアセスメントの領域など、広い分野で活用いただいています。また、本ガイドラインのリスクアセスメント手法とその考え方は、ISO/TS 11633 として技術的な世界標準となっています。 近年導入が進む救急医療車両に搭載される診療端末では、利用時に救急隊員が端末認証用の証明書を用いることでデバイス認証が実践されるなど、医療 DX の高次元なセキュリティ対策に貢献しています。
―― 「リモートサービスセキュリティガイドライン」は、2024 年 11 月に Ver.4.0 として改訂されました。最新版の概要について教えてください。
松本 最新版では、情報システムのセキュリティ管理の基準を示す ISMS の国際規格 ISO 27001、ISO 27002 での改定内容を中心に、厚生労働省が発行する「医療情報システムの安全管理に関するガイドライン 6.0 版」(以下、安全管理ガイドライン)の内容に沿った見直しを実施しました。リモートサービスに関するリスクアセスメントの手法を紹介するとともに、「サービスレベル合意書」(SLA ※2)と「医療情報セキュリティ開示書(SDS ※3)の作成についても詳細な解説をしています。
※2 SLA :ユーザーがサービス提供者との間で、サービスの品質について合意する契約
※3 SDS :医療情報サービスを対象にセキュリティ機能に関する情報を開示する文書
安全管理ガイドラインでは、「PKI(電子証明書)による本人認証」を推奨しています。「リモートサービスで利用する通信はすべて暗号化し、多要素による厳格な認証をすべき」という基本的なルールを実現するためにも、PKIの普及が医療業界で重要なターニングポイントになっています。
医療業界を取り巻く現状と課題
―― 少子高齢化や人口減少社会に対応し、政府は国を挙げて医療 DX 推進に本腰を入れています。医療DX推進が加速する中、医療業界を取り巻く現状と課題とは?
松本 厚生労働省が推進する「医療 DX 令和ビジョン 2030」には、「全国医療情報プラットフォームの構築」「電子カルテの普及・標準化」「診療報酬改定」という 3 つの目標が掲げられ、2030 年までの目標達成に向けて、医療機関の対応を加速化していく方針です。医療 DX 推進における重要な課題の 1 つが、データセキュリティとプライバシー保護です。
米調査会社 Ponemon Institute と IBM の共同調査「2024 年データ侵害のコストに関する調査」によると、米国における医療業界の平均侵害コストは 977 万ドル(約 15 億円)に達し、業界全体で最も高額な侵害を受けました。悪意を持った人間からすると「医療情報」は、一般企業が扱う情報より価値を持つ場合があります。例えば、「住所・氏名」が医療機関から流出した場合、心身に不調をきたした患者・家族の心に付け込んだ詐欺に利用されてしまうかもしれません。「医療 DX 令和ビジョン 2030」の提言により、AI を活用した診療やロボットによる遠隔診療も期待される中、当然ながら医療業界全体のセキュリティ対策の強化がますます重要となります。
―― 2024 年は、診療報酬改定や救急時医療情報閲覧運用の開始、マイナ保険証のスタートなど、医療 DX が大きく進んだ年でした。リモートサービスが大きく普及した背景についてどのように考えていますか?
松本 リモートサービスが大きく普及した背景には、光回線や 5G サービスの開始があります。「すべての病院をネットワークでつなげる」というビジョンの「医療 DX 五カ年計画」が策定され、リモートによる診療など医療 DX が大きく進展しました。そうした中、医療機関では「DX に対して具体的に何をすればいいのか?」「医療従事者への教育をどうしたらいいのか」という悩みの声を多く耳にします。コンピュータウイルスへの感染はたった 1 人の過失から起こります。サイバー攻撃のリスクを下げるうえで、医療機関の従業員を含む医療従事者へのセキュリティの啓発活動は欠かせません。 一方、医療機器ベンダーには「どんなセキュリティレベルのサービスを提供すればいいんだろう?」という課題意識が増えています。 2024 年から MDS/SDS(医療情報システムに関する対応状況を示すチェックリスト)を医療機器のベンダーは顧客である医療機関に提出することが義務付けられました。自己採点ではなく、第三者機関による真正性を担保するサービスも当社は行っているので、MDS/SDS 対応の相談も増えています。
マイナンバーカードの普及が進むことで、医療サービスの DX 化は加速化することができます。実は、こうした医療 DX や救急医療の現場を、サイバートラストの PKI 技術が支えています。僕は当社の PKI 技術サービスであるマネージド PKI の開発者の 1 人なのですが、マイナンバーカードにも使われている PKI 技術が、医療の安全・安心に貢献できていることを非常に嬉しく感じています。
医療機関が取るべき対策とは?
―― セキュリティ対策の強化がますます重要になる中、医療機関はどのような対策を講じればよいでしょうか?
松本 近年、医療業界ではリモートサービスの不備に起因するセキュリティインシデント(事故)が後を絶ちません。こうしたインシデントは、リモートサービスセキュリティガイドライン が提唱するリスクマネジメントを実施していくことで発生を抑えることができます。医療機関の方がまず行うべき対策として、既述の安全管理ガイドラインを熟読していただきたいです。安全管理ガイドラインは、医療機関の規模に関係なく中・小規模のクリニックもすべて対象になります。
多くの医療機関では、セキュリティ対策に十分な資金投下ができないといった事情があるかもしれません。まず必要な施策は、リスクアセスメントをきっちり行うこと。そして、インシデントが起きた場合の事業継続計画(BCP)を医療機関としてどうするかを考えておくことが大切です。また、従業員も含めた教育などのタイミングで、自然災害や IT インシデントが発生してしまった場合の行動規範をトレーニングしていくことも欠かせません。
サイバートラストでは、医療機関ごとの状況や方針、予算に応じて、適切な支援を行っており、安全管理ガイドラインで必須になっている多要素認証や通信の暗号化への対応も専門領域です。数あるセキュリティ対策の中で、どの部分に力を入れるべきかという提案もできますので、気軽に問い合わせていただきたいです。
―― サイバー攻撃の手法が劇的な進化を遂げた 2000 年代から、医療とセキュリティという 2 つを主軸に、業界の第一線で活躍してきました。セキュリティ対策の重要度が増す今、改めて感じることとは?
松本 2000 年代初頭に Code Red や Nimda に代表される大規模なコンピューターウイルス被害が発生し、以降、金銭目的のサイバー攻撃が急増しました。私は、厚生労働省が立ち上げたセキュリティ対策委員会に参画して以来、医療業界をメインにセキュリティ領域に特化した活動に携わりました。技術者として難解に感じたPKI の技術を極めたいと、情報セキュリティを専門とするサイバートラストに転職し、その後は PKI 専門の技術者として活動しながら、会社公認で JAHIS の WG リーダーとしてセキュリティ啓発活動を続けています。現在も月に一度、ヘルスケア事業を行う名立たる企業のセキュリティ専門家の方々と定例会議で最新のサイバー攻撃やテクノロジーなど情報交換しています。情報セキュリティの専門性を JAHIS の活動で生かしつつ、医療界での活動を自社の医療分野の展開にフィードバックするという形で、両組織に貢献することができていると信じています。
この業界に四半世紀、身を置いていて感じるのは、やり続ける(突き詰める)ことってすごく大変だということ。安全・安心なシステムを維持すること自体が大変なことですし、時代に合わせて新しい情報や技術を取り込んでいく必要もあります。サイバートラストで勤続 20 周年を迎える私が今、一番誇りに思っている部分が、認証技術に係わる業を真面目にずっとやり続けてきていること。国内に認証局を持っている企業であり、これは、社是にもある「信頼」という言葉につながると思うんです。「裏切れない」というところに、セキュリティの本質があるのではないかと、私は肌で感じています。
医療と IT の分野に参画したばかりの 20 代の頃、自己研鑽のために読み漁った分厚いセキュリティ教本の著者でもあるセキュリティ専門家の先生方と、数十年を経て JAHIS の活動でご一緒させていただくことがあります。当社に入社したての頃にも、JAHIS から今回と同じ賞をいただきました。社会人としての集大成として今回の賞を重く受け止めながら、関係いただいている皆様に深く感謝しています。
これからも、当社の認証技術を通じて、情報セキュリティ業界の躍進に貢献していきたいと考えています。
本記事に関連するリンク
情報セキュリティ関連記事
