日本医師会総合政策研究機構(日医総研)が8月24日に公開した「サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために[PDF]」という文書が、SNS上で物議を醸しているようだ。その文章の内容は、医療機関とITベンダーの契約において、サイバー被害の責任をどのように分担するかについての内容。文書は、ベンダーからのリスク説明が不十分だった場合でも、「信義誠実の原則」に基づいて、既知の脆弱性についてベンダーが適切な情報提供を怠った場合、契約に明記されていなくても一定の責任を問うことができるように求めている(日医総研発表文書、上原 哲太郎氏のXポスト、ITmedia、The Key Questions)。
日医総研によると、保守契約の中に情報提供義務が明記されていないケースが多いという。こうした情報提供義務が明記されていない場合、ベンダー側に責任を問えるケースは「極めて少ない」。日医総研のアンケート調査(全数4件)によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったそうだ。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったとしている。
この文章に対してSNS上では文章で出す前に、情報提供義務を契約に明記すべきだという意見が多く見られる。ただ過去記事でも取り上げているように医療業界では、ランサムウェアを利用したサイバー攻撃による被害が増加しており、具体的な事例として、徳島県の拠点病院がサイバー攻撃を受けたり、大阪の医療センターが被害を把握できなかったりした例も出ている。とはいえ、医療機関側ではセキュリティ対策に予算が限られており、政府やITベンダーによる支援も必要ではないかといった意見も見られる模様。
| セキュリティ
| 医療
|
関連ストーリー:
全国280の大規模病院でIDとパスワード使い回しが判明。サイバー攻撃被害の一因に
2023年03月31日
昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧
2023年01月13日
大阪急性期・総合医療センターがランサムウェア感染、31日から診療が停止
2022年11月02日
徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった
2022年06月21日
2月16日以降、サイバー攻撃が最大25倍増との調査結果
2022年03月09日
ハッカーが医療業界への攻撃を強めている理由
2016年06月30日
Source: スラッシュドット