R6.7.11東京「サイバー攻撃にさらされる日本 政府は「能動的サイバー防御」を打ち出すが…国民の権利を脅かしかねないその中身」(https://www.tokyo-np.co.jp/article/339300)。
医療分野のサイバーセキュリティ対策(https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html)について、R6.6.28NEWSポストセブン「【KADOKAWAシステム障害で注目】日本企業を身代金ウイルスで攻撃するハッカー集団の幹部を直撃取材「俺の正体を突き止めたら100万ドルやるよ」」(https://www.news-postseven.com/archives/20240628_1974313.html)で「ランサムウェア攻撃に襲われたある病院では、電子カルテなどが使えなくなり、診療が一時停止する事態になった。(中略)同病院は事件当初から身代金は支払わないと断言していた一方、筆者が攻撃者であるロシア系犯罪集団に直撃取材を行なうと、病院側が数万ドルの身代金を支払っていたという反応だった。」(https://www.news-postseven.com/archives/20240628_1974313.html/2)とある。最近、R6.6.11FNN「県精神科医療センター 名前や病名など個人情報流出…最大約4万人分 ランサムウェアか【岡山】」(https://www.fnn.jp/articles/-/712385)が報じられているが、果たして、医療機関におけるサイバー攻撃の正確な実態は把握されているのであろうか。医療関係者は、R6.4.5東洋経済「サイバー攻撃、被害公表のあり方に「正解」の道筋 被害組織の批判ではなく対応の適切な評価へ」(https://toyokeizai.net/articles/-/742977)の「ランサムウェア攻撃は、攻撃者にとって価値があると思う情報を狙いに来るのではなく、「被害組織にとって価値があると思う情報」を人質にする戦術のため、これまでのような「狙われることがない組織」というのが理屈上存在しなくなってしまった。個人にとって大事な思い出である写真、企業の会計データ、在庫の管理システム、そういったものが“人質”に取られるのだ。そのため病院や学校、中小企業など、これまでターゲットになりにくかった組織のランサムウェア被害が相次いでいる。」(https://toyokeizai.net/articles/-/742977?page=2)は認識したい。「より積極的な被害公表が多く行われるようになれば、「どういう種類の攻撃の場合、被害組織はどのくらいのスピード、内容で対応しているのか」という相場観がある程度醸成され、被害組織がとったインシデント対応に対して、より適切な評価がなされるようになる」(https://toyokeizai.net/articles/-/742977?page=4)ために、サイバーセキュリティセンター(https://www.nisc.go.jp/)のR5.3.8「サイバー攻撃被害に係る情報の共有・公表ガイダンス」(https://www.nisc.go.jp/pdf/policy/kihon-2/kyogikai_guidance2022.pdf)は医療機関に周知徹底すべきと感じる。しかし、R6.6.28NEWSポストセブン「【KADOKAWAシステム障害で注目】日本企業を身代金ウイルスで攻撃するハッカー集団の幹部を直撃取材「俺の正体を突き止めたら100万ドルやるよ」」(https://www.news-postseven.com/archives/20240628_1974313.html)の「身代金を払うのも大変な出費だが、システムを入れ替えたり、1週間ほど通常業務ができなくなったことを考えると支払ったほうが安かったのではないかと思います」(https://www.news-postseven.com/archives/20240628_1974313.html/2)をみると、何か対応が必要ではないか、と感じないではない。なお、R6.6.6「「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表」について」(https://www.ajha.or.jp/topics/admininfo/pdf/2024/240606_5.pdf)は、R6.5.13「令和6年度版「医療機関におけるサイバーセキュリティ対策チェックリスト」及び 「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル ~医療機関・事業者向け~」について」(https://www.ajha.or.jp/topics/admininfo/pdf/2024/240514_2.pdf)とのセットで、「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」(https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html)の一部であるが、「医療機関におけるサイバーセキュリティ対策チェックリスト」「サイバー攻撃を想定した事業継続計画(BCP)」は「医療法第25条第1項の規定に基づく立入検査」(https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/i-anzen/tachiirikensa_00003.html)(https://www.mhlw.go.jp/content/10800000/001259883.pdf)(https://www.mhlw.go.jp/content/10800000/001259884.pdf)でも確認されるであろう。R6.6.10CBnews「サイバー攻撃に備えたBCP策定病院は3割未満 500床以上でも5割に届かず、厚労省調査」(https://www.cbnews.jp/news/entry/20240610180255)は改善されるであろうか。それにしても、内閣サイバーセキュリティセンター(https://www.nisc.go.jp/)の「ストップ! ランサムウェア ランサムウェア特設ページ」(https://www.nisc.go.jp/tokusetsu/stopransomware/index.html)の「関係機関における取組」には厚労省は掲載されないのであろうか。ところで、R6.7.4朝日「京都府警管理のサイトに不正アクセス 改ざん、メルアド流出のおそれ」(https://www.asahi.com/articles/ASS7432BTS74PLZB00PM.html)は気になる報道かもしれない。
