リスクと安全の備忘録（３）　ITシステムというリスクのフィールド

サイバーセキュリティー編である。

医療者向けのサイバーセキュリティーの動画を観させられた。やたらと「ITシステム」なんて言葉が使われている点に、私のリテラシーが「あ、この研修、ほとんどなにも期待できないな」と思わせた。
かいつまんで言えば医療現場でPCが使われるようになって、それゆえのリスクが生まれた、というだけのことである。話は分かりきっている。分かりきったことを知らされただけでリスクが減るというようなものではない。

ざっくりそのリスクを二つあげれば、まずもっとも大きなのは情報漏洩だ。
紙で情報が扱われた時代よりは、その規模が大きくなるからだ。カルテ庫のカルテすべてが盗まれたとか流出したという話は聞いたことがない。国家機密じゃあるまいし、そこまで大量の情報を盗む人もいないであろう。
だがネット上なら情報拡散はいかに大量であれほぼ一瞬である。

もうひとつは、悪意ある攻撃をされやすくなったことだ。ウイルス感染でPCが固まる程度ならば被害としては軽い。だがランサムウェアに攻撃されると、患者プライバシーや情報を盾に強請られることになる。誘拐ビジネスをはびこらせないためには身代金を払わないのが有効だが、一部の人が金を払う限り、その低い成功確率によって犯罪はなされつづける。

この手の事故・事件が起きると、人手が割かれるぶん医療機関の機能は低下する。ましてや電子カルテが使えなくなったり患者情報へのアクセスが不能となる事態に陥れば、医療機関としての機能はほぼ麻痺する。

紙媒体はしっかりと実在しているのがよかった。一度に一箇所にしか存在しない。コピーには一手間かかった。

だが、それゆえのリスクもある。昔病院でよくあったのは、カルテの紛失だ。外来に来る患者のカルテが見つからず、看護師たちが血眼になって院内を探す、なんていう光景は珍しくなかったのだ。最後まで見つからないこともあった。
それでも紛失なら見つかる可能性がゼロではない。もし盗まれたのであれば絶望的だ。その情報は永久に手元に戻ることはないだろう。カルテを盗まれるというアクシデント報告を実際に目の当たりにしことがある。だが個人情報保護法などというものはない時代の話であり、「患者さん、すみませんでした」「次から気をつけてくださいね、先生」で済んでしまっていたが。

PC、ITは、新しい質と規模の恩恵とリスクをもたらした。それだけの話だ。だがそこまで割り切って構造を見ると、対策も考えやすい。

デジタル情報は実態を持たない。消えやすく、曖昧で、危うく移ろう、まるで量子のような存在である。ならば量子力学をモデルとすればよい。不確かなものを定量的に扱うのに用いるのは、確率である。そもそも「リスク」というものが不確定な、確率で扱う対象である。

となると確率の振れ幅（ボラティリティーという）を下げるために使うものは？　保険でないだろうか。

「え？　医療現場で事故はあってはならないものでしょ？　それを前提にしてしまうのは医療者としてどうなの？」

と思う人がいるのはもっともであるが、医者が高い保険に入ることを今さら咎める人はいないだろう。事故を起こすために保険に入っているわけではないのだから。サイバーセキュリティーの問題も、行き着くところはそこだ。

「IT関連の事故はいつかだれかが必ず起こす」ということについて、もう少し織り込んだほうがよいように思う。サイバーセキュリティー研修の内容が結局のところ「気をつけましょう」だけではコスパが悪すぎる。そのせいで忙しくなり事故を起こしました、なんて笑い話のようなことも、日本全国の規模で考えれば、だれかが本当に起こしているはずである。

Ver 1.0 2023/4/28
#医療
#IT
#インターネット
#情報セキュリティー
#個人情報
#情報漏洩
#ランサムウェア
#医療安全