医療団体、ITベンダーに「サイバー被害の一部を負担するべき」と提言

サムネイル
1 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 16:58:02.78 ID:5KBoH7uC0

医療政策の企画立案などを目的とする日本医師会総合政策研究機構(日医総研)が8月24日に公開した文書が、SNS上で物議を醸している。医療機関とシステムベンダーの契約と責任分担に関するもので、「信義誠実の原則」を理由に「ベンダーのリスク説明が不足している場合、契約に記述がなくても、医療機関側から一定の責任を問える可能性がある」との内容が記されている。

文書のタイトルは「サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために」。医療機関とベンダーには専門知識の格差があることなどから、「システムベンダーは信義誠実の原則に基づく不随義務として、医療機関が安全管理義務を履行するために必要な情報を適切に提供する義務を負う」との見方を示している。

「信義誠実の原則」とは「互いに信頼を裏切らないよう行動すべき」とする法原則。既知の脆弱性についてベンダーが適切に情報提供しない状態で、その脆弱性を原因とする問題が発生した場合は、保守契約に記載がなくても信義誠実の原則違反を理由に一定の責任を問えるとしている。

一方で日医総研によれば、現状実際には保守契約の中に情報提供義務が明記されていない場合、ベンダーがその義務を暗黙の内に負っていると認められる可能性は低く、ベンダー側に責任を問えるケースは「極めて少ない」ととらえている。

日医総研が2022年度に実施したアンケート調査(全数4件)によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったという。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったという。

この意見に対し、X(Twitter)上では「情報提供義務を契約に入れればいいのでは」「誰も医療業界に手を出さなくなりそう」との声が挙がっている。

日医総研によれば、これまでの保守契約は保守点検やトラブル対応などを中心に規定したものが一般的であり、セキュリティ対策について明記することは少ないという。医療機関がセキュリティ対策を求めれば契約料の増額を求められるだろうとして、費用負担は行政が支援するべきとしている。

医療機関では21年からランサムウェアを使ったサイバー攻撃による被害が続いている。徳島県のつるぎ町立半田病院の事例を皮切りに社会問題化し、23年4月には厚生労働省が「医療法施行規則の一部を改正する省令」を施行。医療機関に対して「医療の提供に著しい支障を及ぼさないよう、サイバーセキュリティを確保するために必要な措置を講じること」を求めている。

https://www.itmedia.co.jp/news/articles/2308/28/news095.html

2 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 16:59:28.97 ID:LPMKplas0
サイバー攻撃対策は情シスの仕事だな
情シスの仕事を丸投げしたいのなら
そういうのをアウトソーシングとして請けてる業者に言うべきだろうな
3 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 16:59:50.94 ID:vI/kjaz40
まあ確かに
作ってやったぞあとは知らんが通用せんからな
普通に個人情報の宝庫な上場合によっては人死につながる
4 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:00:05.92 ID:VEWfUrdZ0
マイナンバーの責任はデマ太郎に取らせろ
5 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:01:09.28 ID:MMefLy8a0
IT業界ではリスク対策も金次第
見積もりに高いリスク対策費用が追加されるだけでは
10 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:03:39.00 ID:taZ3QSXc0
>>5
当然コスト上がるだけの話
後、職員のミスによるものかのログ追加とか有るだろう
12 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:04:44.45 ID:dNlGfrcs0
>>5
見積もりに追加するだけで中身は変わらんか酷くなると言うね
6 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:01:17.35 ID:bBxtl8zt0
いや普通にシステム部立てて自前で管理しろよ
13 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:05:05.50 ID:dNlGfrcs0
>>6
ほんまやで
自前でしない時点で終わってる
20 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:08:45.10 ID:MMefLy8a0
>>6
システムの構築運用技術はいかに場数をこなして経験積めるかが重要
1病院内しか見ていない担当者では場数が致命的に足りない
結果ず、糞システムを作って糞運用で回すことになってしまう
7 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:01:18.78 ID:0bXUfrOY0
そのぶん保守の費用たくさん取られると思うけどね
8 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:01:40.37 ID:bwAewmV20
サイバー“事故“って事は攻撃された場合は負担無しって事か?
9 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:03:13.07 ID:/L5DMQfz0
嫌なら永遠にアナログでやってろ
11 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:03:55.47 ID:bTonodMh0
何が起こっても人のせいとか医者の考えそうなことだ
16 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:06:01.61 ID:dNlGfrcs0
>>11
医療ミスは認めないし責任取らんくせにな
14 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:05:05.52 ID:OZj3/ihe0
頭良いのに能無しとはこの事
15 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:05:35.17 ID:fnDPcMNt0
説明してもいいけど理解できるのかなあ

契約とか法律専門用語はわからない方が馬鹿
ってスタンスだけど

22 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:10:01.03 ID:8gD3xVow0
>>15
分かるわけないやろ
クソみたいな脆弱性でも潜在化していた不具合が一時的に高まった負荷により顕在化したとか適当なこと言っとけば何も分からんやろ
よくあるゴミシステムのバグみたいに
28 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:11:26.01 ID:weeJNQqn0
>>15
絶対理解出来ん
真面目に解決するなら病院側が技術者として雇うべきだし
38 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:20:07.69 ID:sJhmZ1Xv0
>>15
専門て書いてるんだからわからなくてもいいだろ?
お前は医療専門用語わかるの?
48 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:27:01.40 ID:i4Ze6lPh0
>>38
生きるの大変そう
17 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:06:11.75 ID:ZvygJhgd0
使う側の立場ってのも理解できるけどさ
旭川医大の件とか、7末期でもしばらくXPが動いてたとか
使用者側の責任も少なくないと思うよ
18 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:07:15.30 ID:vkTMLwtr0
金持ってるくせにいちいちセコいな
19 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:08:23.27 ID:0bXUfrOY0
利用者側のITラテラシーもそこまで高くなさそうなのがね
院内PCに私物のUSBメモリとか使ったりしてそう
21 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:09:07.64 ID:vkTMLwtr0
未知の脅威ってのは存在するし
脅威を100%予め説明するってのは無理だと思うんだが
どこまでを求めてるんだ
23 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:10:23.56 ID:IWgxMFEM0
誰も引き受けなくなるくね?
24 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:10:54.13 ID:Gg0tSM400
この前救急車で運ばれた病院の待合室ディスプレイに草原の壁紙が表示されてた
25 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:11:02.19 ID:vI/kjaz40
実際に病院のシステム開発の設計から実装までやったけどまあ大変だよ
いろんな分野の知識要求されるわリスク高いわめんどくさすぎるわで割に合わん
57 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:34:41.00 ID:HpOJGMUU0
>>25
ってか業務に関する深い知識を求められるなんてどの分野でも当たり前で、医療に限った話じゃないが
26 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:11:19.15 ID:ZhV6c5tU0
なんというか雑な理屈だなあ
27 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:11:23.51 ID:qwGyYHL20
こんなんだからITが普及しない、アホ過ぎるわ
医者は何も知らんくせに偉そうやからな、どうせvpn外部リモートの脆弱性突かれて文句言ってるだけやろ
29 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:12:16.25 ID:XTwYWuIk0
医者に例えて言うなら診断ミスを全て把握して
なおかつその責任全て負っているのかって話なんだよな
30 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:12:24.01 ID:Rf9mKMw+0
決定している連中の大半が未だにITをヲタクの延長としか思っていないのだから
31 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:13:48.28 ID:A3mNCXrJ0
医療ITは結構独占事業だった気がするからそんなん途中で潰されるでしょ
32 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:13:57.24 ID:ZW15MjUl0
コロナの影響を医師も自腹で負担すべき
ならどうする?
33 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:17:20.76 ID:KLu2aWFd0
医療itなんて大して儲からんしやめたらいいよ
34 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:17:21.96 ID:jEKyuMKq0
お前んちのシステム作らねーよになるだけやろ
自前で作るならええけど
35 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:18:18.99 ID:+xsP9Cd30
リスク分の金を払うんなら
36 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:18:44.89 ID:824I6uZC0
値段と比例するだろし、ランサムウェアを防ぐには利用者への教育と利用制限が不可欠

一番いいのは重要な情報はインターネットと切り離す事だけど、DXと真逆の方針だな

37 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:20:06.96 ID:qwGyYHL20
fortunateのvpn問題はクリティカルやのに、忠告しても金かかるならやらないとか宣うもん、徳島の病院みたいなってからじゃ遅いのがわからんみたい
39 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:21:17.83 ID:ZvygJhgd0
仕様のカスタマイズを断る事例が増えそう
Web閲覧の制限や記憶媒体の使用制限、保守費の増額、システム使用期限の設定
ここらは十分あるだろうし
40 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:23:12.24 ID:QcBxzpzi0
セキュリティは当然最高レベルでお願いするので何かあったらベンダーが責任取ってね

使用端末はVista~
ブラウザはIEも使うからそこんとこヨロシク!

41 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:24:26.53 ID:mlSB4wGI0
保守費用に上乗せしときゃいい
42 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:25:05.66 ID:8h9jOBVM0
医療側だがマジでクソみたいな対応のベンダーあるからね
44 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:25:46.62 ID:Yu0k3YJ20
原因がどこにあるかだろ
45 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:26:03.25 ID:uyHhh+Sc0
>医療機関がセキュリティ対策を求めれば契約料の増額を求められるだろうとして、費用負担は行政が支援するべきとしている

それはめちゃくちゃすぎだろw

50 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:28:33.84 ID:A3mNCXrJ0
>>45
電力もだけどインフラ関係は民営化しても危険信号でたら結局国民にケツもたせようとするよね
46 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:26:23.93 ID:A3mNCXrJ0
保険てないんかな
割あわんか
47 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:26:51.35 ID:rJHhIFg+0
病院がシステム運営する人間を直接雇用しない限りなにやっても無駄だろ
理解しねーもん
49 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:27:35.04 ID:d8ul2oH50
そーいう契約にしたらいいんでない
51 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:30:13.35 ID:qwGyYHL20
今回の件はfortigateに請求しろよ、数ヶ月も経たんうちに2回もクリティカルな問題を出すなよ
52 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:30:42.76 ID:X/LdT0/H0
自分たちでリスク管理費払うつもりないのがヤバいわこのアホども
お前らが的確に要件定義できないのが悪いんだぞ?
53 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:31:06.05 ID:1or5mHf90
医者が患者と行う契約と同等の契約をすればいい
54 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:31:26.63 ID:8h9jOBVM0
ホントは医療機関の職員にちゃんと病院とベンダーの橋渡し出来る人が居たら良いだけなんだけど
しょーもないPCトラブルの対応ばかりやらされて辞めていくようなイメージしかない
55 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:33:55.54 ID:MXc52Hml0
意味分からないけど、韓国の損害は日本政府が支払うべきみたいなものか?
56 名前:匿名のゴリラ 投稿日時:2023/08/28(月) 17:33:56.93 ID:YI9dI5500
ベンダーが常時監視中とか無理なんで専門家の部門を置くしかない時代かね

まあ、データセンターから業務システムからすべてクラウド化したパッケージでもあれば監視も含めてベンダーに依頼もできるだろうけど

コメント一覧

タイトルとURLをコピーしました