534病院サイバーテロで自殺者　必要な経費を負担しなければ…

市民病院（奈良県宇陀市）がサイバーテロに攻撃され、患者の電子カルテが利用できなくなり、新規患者受付ができなくなった。これだけでも大いに痛手だが、手術や投薬の個人情報が抜き取られ、流出した可能性が否定できない。もし損害賠償を請求されたらどうなるか。とにかく大失態である。これで自殺者が出た。
自殺したのは病院のシステムセキュリティを担当する情報システム管理室長。報道によると、市役所職員として教育委員会、建設部、農林部などを異動し、50歳代半ばの2016年から市民病院で訪問診療事務を担当していた。
病院が電子カルテシステムを導入したのは2018年。患者情報などのバックデータもしないうちにシステム運用直後からランサムウェアに感染させられた。その後の推移は想像できる。「病院の体制はどうなっていたのか」「今後の対応をどうするのか」「責任をだれが取るのか」。市議会、マスコミ、市民団体から連日連夜、厳しく説明を求められ、陳謝を迫られる。病院はその役割責任者としてこの職員を任命した。経歴から見てコンピュータシステムにはズブの素人。他に技術が分かる人もいなかったということなのだろう。畑違いの仕事で追い詰められ、山間部のダム湖に自ら身を投じた。59歳。もう少しで定年だった。

医療分野もIT化しなければいけないと政府はいう。だがネットにつなげば、医療情報を盗み取ろうとあの手この手のサーバー攻撃を受けるのは予想されること。攻撃側の技術革新は日夜高度化されているから、防御システムの改善へのコストもかさむ一方だろう。当然、十分な知識を持った技術者をそろえた対応措置が必要だ。定年間近のおじさんが片手間で対応できるはずはない。
　この事件で学ぶべき本質はどこか。「個々の病院でIT人材を確保できるよう、国費で人件費を負担すべきだ」との識者の声が載っていたが、二つの点で本質とは縁遠い的外れ評論。まず、わが国は国民皆保険体制。患者個人情報の漏出は保険制度の根幹に関わる。個別病院の責任を問う前に、医療保険制度の責任を明確にすべきだ。少なくとも診療報酬請求とリンクする分野の情報管理は医療保険制度、すなわち各保険者サイドの責任であることを確認しよう。そうなると費用負担は医療保険制度、すなわち保険者が負担するのが筋ということになる。
　個別病院へのサイバー攻撃への対応などとして、専任管理責任者を置く大型病院に診療報酬の上積みをしているが、論理が逆。満足な対応をしていない病院への報酬を減額する方が正しい。保険医療機関の指定取り消しも考えるべきだ。患者は健康保険の加入者なのだから、保険者はもっとまじめに対応しなければならない。保険料を払った上に、個人医療情報が特定外国政府を含むよからぬ組織に抜き取られるなど許容できることはあるまい。
　防御システム費用総額の分だけ診療報酬の内訳変更が必要になり、個別診療での報酬点数切り下げが行われるが、必要経費として前向きに考えるしかない。
　したがって政府がすべきことは、病院への補助金のバラマキではない。サイバーテロ犯の検挙、さらに組織的犯罪をつぶすための本気対応だ。やられっぱなしではない、やり返す方法の研究、検討、体制整備だろう。

　個人的体験だが、銀行カードやクレジットカードへの不正侵入を警告するメールが届く。念のために連絡すると、開口一番「偽メールであるので開かないように」と告げられる。相談が多数あるということだろう。それが分かっているのなら、相手を突き止め、逆にそちらのシステムを破壊するくらいのことをしてよさそうなものだが、「そこはいろいろありまして…」ときわめて歯切れがよくない。金融機関の資金力と政府の権限を合わせれば、サイバーテロへの反撃はできるはずだろう。
　どこで見たニュースか忘れたが、北朝鮮のハッカー要員扱いされかかった個人が怒って、北朝鮮のシステムを部分的にダウンさせることに成功したそうだ。情報管理の面でも「専守防衛」では限度がある。政府が本気になってくれれば、個別でのシステム防御費用や被害は軽くなる可能性が高いのだ。