2020年9月、NTTドコモの「ドコモ口座」を経由した不正出金が発覚(1)し、多くの被害者が出ました。また、いくつかの他の金融機関でも同様の不正出金のインシデントが発生しています。セキュリティがしっかりしている印象の強い国内の金融業界でおきたこの事例を踏まえて、医療業界のセキュリティを確保するためにには何が必要かについて考察したいと思います。
今回の問題に見る金融業界の特色
今回の問題では、ドコモの初動の悪手が目立ちました。特に9月8日に同社のホームページに掲載した出したお知らせ(2)は、顧客目線を欠いたものとして批判の対象となりました。
ただ、ここからが金融業界の特色が良い意味で出たところで、9月10日には金融庁からドコモに対して「報告徴求命令」が出され、同日、同社の副社長が会見を開き、その冒頭で、不正利用の被害者への謝罪の表明と、ドコモ口座の作成で本人確認が不十分だったことが原因であったとして、一転して自社の責任を認めています。
この後、9月16日にドコモは金融庁に報告書を提出していますが、場合によっては厳しい行政処分が下される可能性もあります。これは、顧客保護の姿勢に反したドコモに対して、金融庁が厳しく指導した結果と推察され、統制力の高さが伺えます。
一方で、個々の金融機関及び金融事業者にセキュリティ対策に関する土壌が十分に形成されているかというと疑問が残ります。今回のドコモの不正出金問題は、一見インターネットを経由した問題であることからサイバーセキュリティ問題のような印象は受けますが、実は、それ以前の、金融機関の業務においてなされているべき本人確認業務が不十分であったと言えます。
これと類似した事件として、2019年におきた7payの二段階認証の問題(3)があります。7payの問題発覚から1年あまりの間、キャッシュレス推進協議会では「コード決済(QRコード決済)における不正な銀行口座紐づけの防止対策に関するガイドライン」(4)の策定を進めており、その完成版の公表はドコモ口座問題発覚後の9月18日でした。
サプライチェーンを含めた形で十分な顧客の本人確認を徹底するという視点でのリスク分析・対応をキャッシュレス推進協議会や関連省庁が議論してきた中で、ガイドラインの公表直前に発生したドコモ口座問題は、関係者にとって大変残念なことだったのではないかと推察されますが、一方で再発防止に向けたガイドライン策定の重要性を示した一件であったかもしれません。
似たような問題は医療業界でも十分に起こり得る
今回のドコモ口座の問題では、金融・決済サービスにおいて、業者間のシームレスなサービス連携による利便性の改善が進む一方で、業務やシステム仕様への影響を理解して安全なサービスを提供することが難しくなっていること、あるいはトラブル発生時の対応についても関係者が増えることで複雑性が高まることなど、いろいろな問題・課題が顕在化しました。
一方、情報セキュリティ問題は医療業界においても他人事ではありません。先日菅内閣がオンライン診療の恒久化についてコメントをするなど、医療のサービス提供形態におけるシフトを求めていく姿勢が見られており、そのトレンドの中では、医療業務のコアとなる電子カルテシステムがオンライン診療サービス、オンライン服薬指導サービス、地域医療システム、また最近医療機器として承認されたAppleWatch心電図のように患者個人が持つデバイスなど、様々なものとシームレスに連携され、利便性を高めていく必要があることは必須と見て良いでしょう。
そうした中で、患者に提供する医療サービスの「サプライチェーン」として、医療機関、関連事業者、医療情報サービス事業者がどれだけ一枚岩になって患者の医療情報あるいは医療に用いられるデバイスを守ることができるかが大変重要になります。
サイバーセキュリティ目線での医療業界と金融業界の構造の比較
これまでの金融業界の話を踏まえ、医療業界のサイバーセキュリティの現状と今後のあり方について考察してみたいと思います。以下の表は、医療業界と金融業界のサイバーセキュリティの全体像を考える際の重要な比較軸として考えられる項目をピックアウトしたものです。
| 医療業界 | 金融業界 | |
|---|---|---|
| 監督省庁 | 厚生労働省 | 金融庁(内閣府外局) |
| 業界影響団体 | 日本医師会 等 | 全国銀行協会 等 |
| 監督省庁や業界影響団体の影響力 | 監督省庁のマネジメントは調整・移譲型。 医療機関の事業の許可を出すのは都道府県知事で、医師会の影響力中央・地方のいずれにおいても大きい。 | 監督省庁のマネジメントは極めて強い権限を持つトップダウン型。 金融機関の許認可や処分権限持つ。必要に応じて業務停止命令などを発令できる。 |
| サービス提供プレイヤー | 医療機関(病院・診療所)、薬局、検査機関、製薬企業、製薬卸、医療機器提供会社、医療情報システム会社 等 | 金融機関、事務代行会社、決済代行会社、Fintech企業 等 |
| サービス提供形態 | 医師が提供する医療サービスをその他の職種・業種がサポートしている。役割は比較的明瞭。 | サプライチェーンがシームレスになり、その中で各社の役割も曖昧になりつつある。 |
| 事業者数 | 病院数 :8,000程度 診療所数:10万程度 ※有床・無床含む | 全業種での金融機関数は1,500程度 ※農協を除くと900程度 |
| 事業者業務の特色 | 基本的には医師の判断・施術であり、アナログ色が強い。 コロナ禍でオンライン化が促進の傾向。 | ATM、オンラインバンキング、オンライン証券など、オンラインでの提供が広く浸透しており、窓口業務の提供は縮小の一途。 |
| 提供サービスの形態 | 業務系システム(特に電子カルテ)は基本院内にオンプレミスで構築され、基本的にインターネットとは遮断されている。 | 大手では業務システムも含めてクラウドサービス利用が進んでいる。 |
| セキュリティに関する 基本ガイドライン | ・厚生労働省「医療情報システムの安全管理に関するガイドライン (第5版)」(5) ・経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(6) | ・金融情報システムセンター(The Center for Financial Industry Information Systems: FISC)の金融機関等コンピュータシステムの安全対策基準・解説書など |
| ガイドラインでのリスクマネジメントのアプローチ方法 | 事業者側のガイドラインはリスクベースにシフトしているが、医療機関側のガイドラインはルールベース | リスクベースにシフト |
| 業界の情報共有 (ISAC※後述) | ISACを含めた業界の情報共有のあり方を検討中。 | 2014年に発足した金融ISAC(アメリカのFS-ISACと連携)による活動が活発で、ISACによる分野横断的演習に加え、金融庁も業界横断的な演習を行っている。また、金融庁の公式文書で金融ISACを活用した情報共有を推奨しており、連携レベルも非常に高い。 |
医療業界の特性を踏まえたサイバーセキュリティ対応の現状
医療業界と金融業界の最も大きな違いは関連する事業者の数と形態です。事業の許認可を金融庁がコントロールしていて参入障壁が高く、全ての業種で金融機関数が1,500(農協を除くと1,000に届かない)と少ない金融業界(7)と比較すると、医療機関は、特定機能病院(平成31年4月1日現在で86病院)や地域医療支援病院(平成31年11月末で619病院)といった大規模なものを含む病院が合計8,000程あり、さらに診療所の数は有床・無床あわせて10万にもなり、非常に多いことがわかります(8)。
既にATMやオンラインバンキングなどでインターネット経由でのサービスを数多く提供し、業務の大部分をシステムに依存している金業界と比較すると、医療業界はまだ対面診療が大半をしめ、オンライン診療を含めた医療のオンライン化はまだ発展途上にあり、院内システムについても従来のガイドラインに基づいて電子カルテを完全にインターネットから隔離している医療機関がほとんどです。このため、環境面で外部からの不正アクセスサイバーセキュリティの大事故についての国内事例が他の業界に比べるとまだ身近なものではありません。
また、医療機関のセキュリティ管理態勢については、特定機能病院や地域医療支援病院といった大規模な医療機関ではITの専門性を持つ従事者を配置することができますが、専門性を持つ従事者をを雇用することが難しい中小規模の医療機関は数多くあると思われ、こうした中小規模の医療機関にとって、国のガイドラインをしっかり遵守する事はハードルが高いかもしれません。
さらに、医療業界では、医療機関だけではなく、薬局、検査機関、製薬企業、医薬品卸など、物流まで含めて非常に多くの関係者が関係しており、これらの関係者でも事業規模にばらつきがあるなど、業界全体の構造も大変複雑性が高いのが特徴と言えます。
上記のような事業者の数や形態の違いを踏まえ、完全に金融庁がトップダウン型マネジメントを遂行可能である金融業界に対し、医療業界は、厚生労働省は医療機関の事業の認可を地方自治体に移譲したり、業界の重要な会議体のほとんどに日本医師会関係者が参加して協議するなど、移譲型あるいは調整型のマネジメントで全体最適を図っているように思われます。
このため、医療業界については、金融業界と比較すると、特にサイバーセキュリティについては、業界全体のマネジメントの難易度が非常に高いと考えられ、今回のドコモの不正出金のケースのように、業界の複数の事業者をまたぐようなサプライチェーンにおけるインシデントが生した場合に、迅速に業界関係者に情報を連携して二次三次の被害を予防したり、事業者の対応がまずい場合に監督省庁が強力な統制力を持ってあるべき対応をさせることができるかというと、少し不安が残ります。
参考:業界全体のサイバーセキュリティ強化に重要な役割を果たす「ISAC」
業界のサプライチェーン全体のサイバーセキュリティを強化する仕組みとして重要なものに「ISAC (Information Sharing and Analysis Center)」があります。ISACは、リスクを軽減し、回復力を高めるため、業界横断あるいは事業者横断で実行可能な脅威情報を収集・分析し、共有することを目的とする組織です。日本では、2002年発足に通信分野のTelecom-ISAC(現ICT-ISAC)が発足しており、次いで金融ISAC(9)、電力ISACが立ち上がり運用が始まっています。
ここで、金融ISACは、米国のFS-ISACとの連携を行っており、日常のインシデント情報の共有のみならず、多くのワーキンググループを組織して、業界の関係者を巻き込んだ業界横断演習の運営を行ったり、インシデント対応マニュアルを整備したり、不正送金対策やFintechに関する対応など、様々な活動をしています。また、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」(10)の中で、監督当局である金融庁が、金融機関による「自助」、金融庁などの公的な支援「公助」、金融機関同士の支援「共助」の重要性を明確にし、金融ISACを活用した情報共有を推奨するなど、監督省庁とISACがとても良い連携をしています。
今後の医療業界のサイバーセキュリティ強化に向けて
こうした現状を踏まえ、今後の医療分野でのセキュリティのあるべき姿について考えると、監督省庁である厚生労働省が医療機関や医療情報サービスを提供する事業者などに対し、ISACを活用した情報共有を推奨し、民間に委託する形で金融業界のような情報共有体制を確立することが重要であると考えられます。
さらには、国の「重要インフラ」として定義されている医療分野のサイバーセキュリティの「セプター(※情報共有・分析等のための組織)」の事務局である日本医師会と密に連携し、地域の医療機関にまでセキュリティに関する情報共有や施策の浸透が進んでいくことが望まれます。
最後に
従前のように電子カルテシステムを完全に閉じた世界で運用することが主流だった時代から、コロナ禍の影響もあり、オンライン診療も含めて医療機関が外の世界と情報を共有する機会が急激に増えてきています。これは、攻撃者が医療機関やサービス事業者を狙う動機が拡大してきているということと同義でもあります。医療業界のサイバーセキュリティ管理態勢の強化のために、こうしたISACのような仕組みがスムーズに立ち上がって金融業界のようにいろいろな有効な活動ができるよう行政が助成・支援をすることも大変重要なことのように思われます。
※2020年12月28日一部内容を修正しました。
注釈
(1) 時事ドットコムニュース:ドコモ口座の新規登録停止 不正利用拡大で―安全対策の甘さ露呈
(2) 株式会社NTTドコモ:一部銀行の口座情報を使用したドコモ口座の不正利用について
(3) 株式会社セブン&アイ・ホールディングス:「7pay(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について
(4) 経済産業省:コード決済(QRコード決済)における不正な銀行口座紐づけの防止対策に関するガイドラインを策定しました
(5) 厚生労働省:医療情報システムの安全管理に関するガイドライン 第5版
(6) 経済産業省・総務省:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
(7) 株式会社日本金融通信社:2020年3月末の業態別金融機関数
(8) 厚生労働省:医療施設動態調査(令和元年11月)
(9) 一般社団法人金融ISAC
(10) 金融庁:金融分野におけるサイバーセキュリティ強化 に向けた取組方針
