第150回クオリティトークルポ
サイバーセキュリティと個人情報保護
－サイバー攻撃から個人情報・重要情報を守るために－

　近年、企業を取り巻く環境において、様々な事象（リスク）を想定し、事業の継続性を平時から準備するBCP体制の確立が求められている。とりわけ、医療界でも従来は、災害や感染症領域が中心であったが、現在はサイバー攻撃（IT-BCP）の脅威に対する関心が非常に高くなっている。今回、畠中伸敏先生（一般社団法人リスク戦略総合研究所）の貴重なプレゼンを拝聴したので、以下ご報告したい。
　ご承知の通り、医療機関では電子カルテを中枢に診療から看護、検査、医事会計業務に至る一連の場面で様々な部門システムが形成されている。多くの病院・施設では経済的な要因からセキュリティ対策への投資は二の次とされる環境下、VPN（バーチャルプライベートネットワーク）の脆弱性を突かれる事案も顕著である。昨今のランサム攻撃を受けた民間企業や医療機関などの事例が紹介されたが、復旧に相当の期間を要しているケースも少なくない。多くの場合、根本的な原因究明にまで至っておらず、恒久対策がとれていないことを示唆した。さらに、対策としては横展開を防ぐマイクロセグメーションの手法（ネットワークを細かくセグメント化し、アクセス制御を行う）やVPNゲートを頻繁に変え、バックアップを頻繁に取得することを推奨した。確かに、ログ分析も含め、現場スタッフの地道な努力が不可欠であることを再認識すると同時に経営者も現状認識を一層深めるべきと感じた。
　さらに予防処置活動として従業員教育の重要性にも着目されており、その一例として「標的型攻撃メール訓練」など継続的な訓練も有益であることを改めて学んだ。
　今日、AIの進化の速度は凄まじく、脆弱化したソフトウェアの欠陥を短時間で的確に突いてくる能力を有するといわれている。これがもし、サイバー攻撃を仕掛ける側に悪用されると考えると恐怖以外の何者でもない。畠中先生の講演は、情報セキュリティに関する造詣が深く、沢山の引出しから繰り出される問題提起や解決の糸口などとても参考になり、続編への期待感も大きかった。貴重なご講演に感謝申し上げます。

松田宏二（医療法人渓仁会）