AI・クラウドネイティブ時代に向けた医療機関のセキュリティ対策について
HAIP

‐ 医療機関に必要なアクションと制度的支援に関する提言 ‐
医療AIプラットフォーム技術研究組合(略称「HAIP」)は医療機関におけるAI・クラウドネイティブ時代のサイバーセキュリティ対策に関する提言を行います。
近年、医療従事者の人手不足が深刻な医療機関において、AIの活用やデータの利活用によって、医療従事者の働き方改革の推進が叫ばれています。また、医療機関へのサイバー攻撃は後を絶たず、特に最近のサイバー攻撃は、AIを用いて行われるケースが多く、さらに使用しているAIを攻撃するケースも登場してきたため、対策の難易度が上がっています。
一方で、医療機関の現状に目を向けると、病院は100床あたりに1名あるいはそれより少ない人数でシステム管理を行っています。この人数で、医療機関内のすべてのITシステムを把握し、CTやMRIなどの医療機器の保守網への接続やPACSや臨床検査システムなどの部門システムの保守網への接続、さらに患者モニタリングシステムや輸液ポンプなどネットワークに接続されたIoMT(Internet of Medical Things)など様々なネットワーク結節点を持つ装置やシステムを監視し、サイバーセキュリティ対策を施すのは極めて困難な状況です。その上、人件費・材料費・光熱費などの上昇により、経営が非常に厳しい医療機関が多いことから、セキュリティ対策の優先順位が上がらず投資が進まない現状が散見されます。政府から“様々なセキュリティの対策を打つべし”と言われても何から手をつけたらよいか判らず具体的なアクションに結び付けられない厳しい現状があります。
この様な状況を少しでも脱却できないかとの考えに至り、2023年度から厚生労働省科学研究費補助金「クラウド上の医療AI利用促進のためのネットワークセキュリティ構成類型化と実証及び施策の提言 (23AC1001)」に採択され、国立成育医療研究センター岡村浩司を研究代表者として、東北大学藤井進、東北大学病院中村直毅、徳洲会インフォメーションシステム株式会社尾崎勝彦、福田秀樹、国立成育医療研究センター松井俊大、医療AIプラットフォーム技術研究組合金子誠暁、宇賀神敦らで研究を進めてきました。本研究の成果を提言の形でまとめ、概要を公開することで、少しでも医療機関の役に立てればと考えています。皆さまの忌憚のないご意見をお待ちしています。
本提言は、できるだけ少ないIT投資で医療機関のセキュリティレベルをいかに向上させるか、また、医療機関のIT投資へのインセンティブをどう設計するかを中心にまとめたものです(図1)。サイバーセキュリティ対策は、1.アセスメント(己を知る)、 2.対策(身の丈に合ったセキュリティ対策を行う)、3.‐1監査(対策が定着しているかを客観的にチェックする)、 3.‐2訓練(有事の際に実際に行動できるか?を確認する)、 4.‐1人財育成(土台を固め全体のレベルを上げる)、4.‐2意識改革(特に経営陣のセキュリティに対する意識改革を促す)の一連のサイクルを継続的に廻し続けることが極めて重要です。また、上記1.から4.を継続的に廻していくために5.制度的支援(インセンティブ設計)が必要となります。6.医療機関の認定制度まで格上げして、見本となる先行事例を積極的に公開し、医療機関全体で共有していく風土を作っていくことが重要です。
[画像1:
https://prcdn.freetls.fastly.net/release_image/113605/17/113605-17-8b1eface002d63e1a56c792725f3c3e8-1753x981.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
万一、サイバー攻撃を受けてもいかに被害を最小化し、医療の提供を継続できるかを常に考え、日ごろよりIT-BCP訓練を行っておくことが肝要です。セキュリティ対策のゴールは、境界型セキュリティやゼロトラスト型セキュリティに代表される完全防御(ZEROリスク)ではなく、完全防御は困難との視点にたったサイバーレジリエンス型セキュリティの実現です(図2)。AIによるサイバー攻撃が常態化し、完全防御は不可能である前提(WITHリスク)に立って、リスクベースのセキュリティ対策を行うことです。それにより、ひと中心の医療(病院中心の医療から市民・患者中心の医療、また、医療従事者や介護従事者にやさしい医療へシフト)が実現できると考えています。
[画像2:
https://prcdn.freetls.fastly.net/release_image/113605/17/113605-17-852132062526336215149cb30baaec98-1912x1064.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
提言書:
医療機関におけるサイバーセキュリティ対策の重要性に関する提言(PDFリンク)
HAIPでは、医療機関が自らのサイバーセキュリティ対策状況を簡便に把握できる「Webセキュリティアセスメントサービス」を提供しています。本サービスは、「医療情報システムの安全管理に関するガイドライン」や「医療機関等におけるサイバーセキュリティチェックリスト」、ISMSの考え方を反映した質問に回答することで、医療機関のセキュリティ対策状況を可視化し、改善に向けたアドバイスを提供するものです。本提言で示した課題への対応を検討される医療機関の皆様には、まず現状把握の手段として本サービスをご活用いただくことをお勧めします。
【Webセキュリティアセスメントサービス】
https://secsrv.haip-cip.org/top
本Webセキュリティアセスメントサービスを「国際モダンホスピタルショウ2026」 (会期:2026年7月8日(水)~10日(金)、会場:東京ビッグサイトのHAIP・AIHOBSブースにて紹介します。是非、お立ち寄りください。
[表:
https://prtimes.jp/data/corp/113605/table/17_1_2d59c018b6d403e848f859e9211a50a7.jpg?v=202607081115 ]
【ホームページ】
https://haip-cip.org
【本件問い合わせ先】
医療 AI プラットフォーム技術研究組合
E-mail:admin@haip-cip.org
プレスリリース提供:PR TIMES

記事提供:PRTimes