DAY0 12.20 15:50 – 18:00 車座7

• 
  
  
  

  (NPO)デジタル・フォレンジック研究会

  理事/「ヘルスケア」分科会主査

  江原 悠介氏

  国内外のヘルスケア分野におけるサイバーセキュリティや業界実態・構造に関する識・経験を持つ。
  四病院団体協議会や全国保団連等の医療関係団体、または医療ITベンダと共同でのセキュリティ調査・レポーティング活動、各種セミナー講演等を通して、国内ヘルスケア分野のセキュリティ向上に向けた教育・啓発活動を行っている。
  一般社団法人医療ISACステアリングコミッティ運営委員、徳洲会インフォメーションシステム（株） セキュリティアドバイザー、経済産業省情報セキュリティサービス審査基準技術検討会 委員等を務める。

2021年の半田町立病院、2022年の大阪急性期医療センターのランサムウェア被害事例にみられるとおり、21年以降、特に、国内の医療機関における様々なサイバーインシデント事例がメディアに取り上げられています。これらの事例の報告書が示す通り、その原因は、本会に参加するようなセキュリティ業界人の一般常識に照らすと、「え？そんなイージーな理由なの？？」「え、フォレンジックできないってなんで？？？」と思われがちですが、その本質的な原因は技術対策以前に、国内医療分野の制度・政策的な構造に起因しています。

保険診療という公定価格の世界で生きる国内の医療分野～～医療のみでなく、介護、健診、薬局にも及びますが～～では、セキュリティへ投資するヒト・カネ・モノを確保することは業界構造的に困難です。しかしながら、患者の機微情報を扱うため然るべき水準のセキュリティを講じなければならないという、二律背反的な状況に直面しています。
さらに、医療機関は様々なベンダやサービサーの製品・システムを複合的に利用するため、サプライチェーン管理も重要ですが、そこへのコントロールを適切に行えている機関は本当に限定的です。

ところで、こうした状況群は国内の医療分野のみでなく、その他の中小・零細企業セキュリティ（デジタルフォレンジック的アプローチ含む）にも同様に見いだせる問題系といえるのではないでしょうか。

ここでは、こうした問題系を＜セキュリティ弱者＞という言葉で定義します。

セキュリティ投資するだけの余力もなく、しかし様々なサプライチェーンに囲まれて業務運営を行わざるを得ず、セキュリティにも詳しくない国内の医療機関には、こうした＜セキュリティ弱者＞の問題系が突端的に表出されているといえます。
その特徴系を一つのサンプルとして考察・分析することで、国内の中小・零細企業～＜セキュリティ弱者＞向けのソリューションを考えるための、重要な洞察が得られるのではと思われます。

上記の考え方のもと、本車座では、モデレータが以下の観点を医療系のトピックに即して諸々解説したうえで、「では、＜セキュリティ弱者＞にはどういったアプローチがありうるのか」について、参加者がディスカッションしながら、次に繋がるアクションの材料を皆さんが得られる機会にしたいとおもいます。

（A）限られたセキュリティリソースの中で何かできるのか
（B）様々に囲まれたステークホルダー（業務・ITサプライチェーン）をどのようにコントロール（あるいはリスク受容）すべきなのか
（C）上記も含めた、官公庁への提言内容はどのようなものになるべきか

※時間の関係上、前倒し/後ろ倒しがある可能性はご留意ください