「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について
国民の皆様へご意見を募集しております。 昨今の情勢から医療機関に対するサイバー攻撃(ランサムウェア被害)の増加が懸念されております。私からもコメントさせて頂きました。
(2)「医療情報システムの安全管理に関するガイドライン第6.0版」経営管理編(案)
1.2 医療機関等における責任
IPAにおいては、データ・システムのバックアップと共に事業継続計画(BCP)・対応方針として、「攻撃者に対しては、一般的に次の理由から身代金を支払うべきではないとされている。 政府機関等の方針で、支払ってはならないと指針が示されている場合もある。」との見解を示しております 。
具体的には、以下の3点が挙げられております。
身代金が攻撃者の資本源(収入源)となってしまう。
攻撃者が同種の犯罪を続けるモチベーションになり得る。
データが公開されない保証は無く、更に金銭を要求される可能性もある。
そこで「現場の IT 部門だけでなく、 経営層や法務部門等を含めた方針策定が必要である。」とあります。
つきましては、経営管理編の医療機関等における責任に、サイバー犯罪者が利益を得て、違法な目的を助長することを防ぐ「社会的責任(倫理規定)」を含めることを提案致します。
なお、サイバーセキュリティの確保を支援する国家資格、情報処理安全確保支援士には倫理綱領が定められており、業務上の判断を行うにあたり、先入観をもたず、他者からの不当な影響を受けず、常に公正な立場を堅持し、公正・誠実に業務を遂行しなければならないとされており、同等の倫理規定が必要だと考えます。
令和2年度サイバーセキュリティ政策会議(第3回)では、「毅然とした態度で対応するといった認識の共有が啓発活動により広まっているが、ランサムウェアの二重恐喝等の場合、何をしてはいけないのかといったことの啓発がそれほど進んでいないように見受けられる」ことが挙げられており、これらのことから以下の項目追加を提案致します。
1.2.2 非常時における責任
【遵守事項】
<善後策を講ずる責任>
<-- 追加
④ これらの施策は。法令等を遵守し身代金要求などサイバー犯罪者に毅然と立ち向かい、社会的責任に努めること。
<-- 追加
これに伴って以下の項目追加を提案致します。
「医療情報システムの安全管理に関するガイドライン第6.0版」企画管理編(案)
11.1 非常時における対応方針の策定
災害やサイバー攻撃、システム障害が生じて非常時となった場合に、
・医療機関等において医療サービスの提供をどのように継続するか
・継続する場合にどの医療情報システムをどのように利用するか
<-- 追加
・法令や社会的責任等を配慮し復旧及び再発防止をどのように対策するか
<-- 追加
11.2 非常時に備えた通常時からの対応
<-- 加筆
サイバー攻撃においては、耐攻撃性や業務継続性という観点と、法令等を遵守し身代金要求などサイバー犯罪者に毅然と立ち向かう対応が必要となる。
<-- 加筆
この記事が気に入ったらサポートをしてみませんか?