2023年3月28日に、大阪急性期・総合医療センターからサイバーインシデントに関する調査報告書が公表されていた。
このインシデントは、2022年10月31日に同センターにおいてランサムウェアによるシステム障害が生じ、診療機能に大きな支障が生じたというもので、システムの復旧が年を跨ぐほど深刻な影響をもたらし、注目を浴びていた。
報告書は概要版もあるが、本編は70頁以上もあり、今後の同種事案の防止の参考にもなるのではないかと思われる。
報告書本編 : https://www.gh.opho.jp/pdf/report_v01.pdf
情報セキュリティインシデント調査委員会の委員には、法律専門家として、ブレークモア法律事務所の平野高志先生がいらっしゃる。
報告書は、事故原因、再発防止の技術的な部分が大半を占めており、当ブログではそこを解説したり評価したりすることはできないので、一部ある法的な部分を紹介することにとどめたい。
契約に関する問題は、要約部分で4.2.1(②)(本編16頁)、詳細は6.1.3(本編57頁)に記載されている。
医療情報を取り扱う事業者は、いわゆる「2省ガイドライン」と言われる「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」や「厚労省ガイドライン」と言われる「医療情報システムの安全管理に関するガイドライン」を意識し、医療機関とベンダーとの契約においても、「3省2ガイドラインを遵守する」といった文言を入れることがよく行われている。
しかし、本報告書でも、「単に「ガイドラインに従う」と記載するだけで、個々の当事者がどこまでのことを行うべきであったかが判然としていない点があった」と指摘するように(本編57頁)、医療機関とベンダーとの間の責任分界や役割、債務の内容が曖昧であったことが指摘されている。本センターだけが特別に甘かったということではなく、他の医療機関においてはもちろんのこと、ベンダとユーザとの間ではよくあることのように思われる。
特に、本報告書でも述べているように、セキュリティ設定、監視・監督、バージョン管理などは、具体的な責任主体を定めていれば、「誰かがやるだろう」と思ってスルーされたりすることもなく、きちんと対応して事故を防止できる可能性が高まる。
この種の事故の原因として、技術的な脆弱性がどこかにあったことはほぼ間違いないので、その結果、「ITの専門家だからすべてベンダが責任を負うべき」という話になりやすい。しかし、話はそんな単純な話ではなく、契約で定めたスコープ外のことであればベンダが責任を負うとは限らない。システムそのものがユーザの資産であれば、ユーザが管理責任を負うと考えられるし、クラウドサービスであれば、設定に関してはユーザが責任を負うと考えられる*1。そういった考え方から、本報告書も、ベンダの技術力の問題として片づけていない。
この点に関し、セキュリティ仕様の定め方として、2020年に情報システム開発モデル契約の改訂版公表時に併せて、IPA(独立行政法人情報処理推進機構)からセキュリティ仕様作成のためのガイドラインもリリースされているので、こうした事態をきっかけに少しでも広まればよいなと思う。
*1:いわゆる責任共有モデルの考え方。2020年に書いた当ブログの「クラウドサービス契約について考える」参照。
