原田 義昭氏 「日本の医療の未来を考える会」最高顧問（元環境大臣、弁護士）最近、私が新聞に取り上げられる事が増えました。１つは会長を務める船井電機の再建問題で、方針を巡る混乱も有りますが、解決に努めて行きます。又、2019年に馬毛島を国が防衛施設建設の為に購入した件では、私が仲介を務めたいきさつ等が取り上げられています。当時、中国が介入したのは事実で、我が国の防衛にとって重要な取引となりました。

三ッ林 裕巳氏  「日本の医療の未来を考える会」国会議員団代表（衆議院議員、元内閣府副大臣）日本でもランサムウエアによるサイバー攻撃で多くの被害が報告され、医療機関でも外来診療を含め全ての診療が止まってしまうという事案も起きています。こうした攻撃に対応出来る様、国も被害からの復旧能力の向上を含め、セキュリティ対策を検討して頂きたい。マイナンバー保険証や電子カルテ等のデジタル化と両輪で進めて行く事が必要です。

古川 元久氏 「日本の医療の未来を考える会」国会議員団メンバー（衆議院議員）私達も気付かない内にサイバー攻撃の被害を受け、既に犯罪者らに様々な情報を見られているかも知れません。特に病院には患者のプライバシーに関わる情報が有り、もし流出すれば経営上大きなダメージを受ける事が予想され、信頼の回復も容易ではありません。サイバーセキュリティについてしっかりと学び、今後の対策に生かして頂きたいと思います。

東 国幹氏 「日本の医療の未来を考える会」国会議員団メンバー（衆議院議員）防衛問題に関するレクチャーを受けた際に、サイバー攻撃について説明を受けた事が有ります。これ迄の戦争とは違い、日常的に攻防が繰り広げられ、宣戦布告の無いまま戦いが続けられている状態だと聞きました。普段の生活で実感する機会は少ないかも知れませんが、医療機関への攻撃を含め、国家にとって更に重要な課題になって行くと思います。

和田 政宗氏 「日本の医療の未来を考える会」国会議員団メンバー（参議院議員）国会で内閣委員会の委員長に就任しましたが、サイバーセキュリティに関する法案が提出されれば、正に法案を審議する立場になります。現実に、他国が日本を侵略する場合、直前にサイバー攻撃によってあらゆるシステムがダウンさせられると言われています。又、偽情報の拡散による世論工作も行われる筈です。そうした危機への対応が求められます。

門脇 孝氏 「日本の医療の未来を考える会」医師団代表（日本医学会会長、国家公務員共済組合連合会虎の門病院 院長）今回から医師団の代表として参加させて頂く事になりました。この会については、我が国の医療に対して鋭い視点から問題提起されており、以前から注目していました。今回のサイバーセキュリティについては私も非常に関心が有り、他の医療機関の経営者も同様ではないかと思います。病院ではサイバー攻撃への対策に追われているというのが実状です。

尾尻 佳津典 「日本の医療の未来を考える会」代表（『集中』発行人）10年前に、米国の病院がランサムウエアの被害に遭い、身代金を要求されているという話を聞き、米国で取材した事が有ります。警察から被害額は年間約2000億円だと聞かされ驚きました。今では更に額が膨れ上がっている様です。米国で起こっている事はいずれ日本でも起こりますし、既に水面下ではかなりの被害が出ているのではないかと思います。

講演採録

■サイバー犯罪の標的となり易い医療機関

サイバー犯罪対策に長く携わって感じるのは、ますます多くの事件が最初にネット空間で問題が発生し、それが現実社会に波及していく構図になってきているということです。

実際に日本では、リアルの空間で起きる事件は減少しています。警察庁の統計では、犯罪件数のピークは2002年の285万件で、23年には70万件と4分の１になりました。一方、サイバー攻撃は急増していて、15年から23年の間に９倍、偽メールなどによるフィッシングの報告数も17年から23年の間に121倍になっています。実在の企業名を騙ったフィッシングメールは20年から急激に増加しています。

また、コンピュータウイルスによるランサムウエア攻撃や、大量のデータを送り付けサーバやネットワークをダウンさせるDDoS攻撃、不正アクセスなどの企業を狙ったサイバー犯罪も引き続き増えています。こうした状況は今に始まったことではなく、経済産業省などは20年頃からサイバーセキュリティ対策の強化の必要性を訴えています。ある統計によれば、サイバー犯罪被害総額は全世界で８兆ドル超、日本やドイツのGDPをも超えています。日本のGDPの２倍近い被害額が犯罪者グループに流れている訳です。しかも、被害者が支払う額も増えており、かつ１件あたりの支払額が100万ドルを超えたという企業が増えています。

以前はランサムウエアによる被害額は比較的小さかったのですが、今は多額の要求額を支払える企業や、医療機関など、身代金を払わざるを得ない所にターゲットを絞る傾向が見られます。サイバー犯罪は、一種の産業として、犯罪者同士で取引や連携を行うエコシステムが確立しています。IDやパスワードを盗む専門の犯罪者が、ランサムウエアの犯罪グループに対し企業のネットワーク上の脆弱性の情報やIDやパスワードなど企業システムに侵入するための情報を売って収益を上げる。そして、内部システムへのアクセス情報を買った集団は、それを使い社内に侵入し、暴露されては困る情報を入手した後にITシステムを暗号化して脅迫して収益を上げる。それぞれのグループが得意分野に専念して（違法）収益を得られるメカニズムができている訳です。

すでに17年には、このランサムウエア（身代金要求ウィルス）攻撃で、英国ではNHS（National Health Service）が停止し、病院のネットワークが麻痺しました。それより１年前の16年11月にはランサムウエア攻撃で、サンフランシスコ地下鉄の券売機が使えなくなり、３日間無料開放されるという事件も発生しました。サイバー攻撃のリスクは、事業継続を中断するリスクになっているのです。

■国家による金目的の攻撃も

サイバー犯罪に対応する際に重要なのは、攻撃者の視点で物事を考えることが大切です。攻撃してくる側の狙いが分かれば、効果的な対応策を講じることができます。

攻撃者はいくつかのグループに類型化できますが、その大多数は①金銭目的のオンライン犯罪者で、全体のほぼ９割を占めます。他には、②政治的な信条や主張を世の中に訴えるハクティビスト（政治的或いは社会的な主張・目的のためにハッキングを行う個人や集団）もおり、「企業姿勢がけしからん」などと言って攻撃することも有ります。また、③テロリストもサイバー攻撃を悪意を持って情報漏洩を行う内部関係者もいますし、④国家が関与しているケースも有ります。

サイバー犯罪グループはオンライン上につくられた闇市場で必要なものを調達しています。通常の検索では見つけられない「ダークウェブ」というその場所は、初期の頃は銃や違法薬物などを売買が中心でしたが、今では、医療系大学や有力企業の社内システムへのアクセス権や、ランサムウエアなどの攻撃ソフトウェアが売買される場でもあり、この闇市場は更に拡大しています。

厄介なのは国家によるサイバー攻撃です。例えば、中国は基本的に国内産業の育成目的の産業スパイの一環として、サイバー攻撃を行ってきた事件が米国政府によって明らかにされています。金銭目的の犯罪は僅かで、個人情報や知的財産権が狙われることが多い傾向にあります。他方、ロシアは米国や欧州を政治的、経済的に混乱させるためのサイバー攻撃が多く、例えば偽の情報などを拡散して政治を混乱させるような事案の背後にロシア政府関連組織があるとされています。イランや北朝鮮もサイバー攻撃を行っていますが、両国は国際社会から経済制裁を受けているので、資金を得ることが主な目的です。国連安全保障理事会の報告書では、北朝鮮の軍事予算の２割はハッキングによるものだと指摘しています。この様に、サイバー犯罪は地政学的な問題とも深く関わっているため、今の米中対立が継続し国際的な緊張が続く限り、国家が関与するサイバー攻撃はなくなることはありません。

■犯罪に対峙する姿勢が重要

被害に遭わないためのセキュリティ対策で最も重要なのは、攻撃者が一番嫌がることを考えることです。「コンプライアンスとして、サイバー犯罪対策を考える」と失敗することが多いと思います。日本はよく「情報漏洩」と言いますが、「何処かの不具合で漏れ出している」のではなく、「情報は盗まれた」のだと考えを改める必要が有る。海外メディアでは、サイバー事案では明確に「stole」（盗難）と書きます。情報「流出」と「盗難」では、対応が全く異なります。個人情報の流出における一番の被害者は、情報を提供した個人ですから、その事態を招いた企業などが謝罪するのは当然ですが、本当に悪いのはデータを盗んだ犯人であり、企業も被害者であるという視点を忘れてはいけません。また日本の場合情報流出が発覚すると、「規制官庁の指導を受ける」「株主から追及される」「評判が落ちる」などと理由を付け、報告せずに済ませてしまうケースも多い。しかし米国では、サイバー攻撃を受けたら連邦政府に報告しなければなりません。日本もいずれ、報告は義務化される様になると思います。

また、攻撃側の進化に合わせて防御する側も進化していく必要が有ります。その１つが「ゼロトラスト」という考え方です。比喩的に言えば、施設に入る際にチェックを受ければ、本来の要件とは別のフロアについでに立ち寄るということもできるのがこれまでのセキュリティです。しかしゼロトラストの考え方では、別のフロアに行く際は改めてチェックを受ける必要が有る。ネットも同様で、ログイン後、都度信頼できるアクセスかどうかを確認するというのが現在のセキュリティの考え方です。

更に「TPP（Technology, Process, People）」も重要です。サイバーセキュリティにおいて最も脆弱なのはやはり人です。そのため、最新の技術を取り入れ、ゼロトラストなどで認証プロセスを強化した後に重要になるのが、人の教育が必要です。我々人間は勘違いやうっかりなどで、危険なメールを開封するなどのミスを犯してしまいます。そうしたことを教育によって防ぐのです。ぜひ、「ゼロトラスト」と「TPP」という言葉を覚えて、セキュリティ担当者にこの２つを取り入れているかどうか確認して頂きたいと思います。

目下、医療機関はサイバー攻撃の主要なターゲットで、日米共に被害が増えています。日本でも医療システムがダウンして、診察ができなくなるという事態が起きていますが、海外では患者が死亡するケースも出ています。そして、サイバー攻撃を受けたケースの原因の殆どがVPN機器の脆弱性です。22年の大阪急性期・総合医療センターへのサイバー攻撃では、給食業者のVPN機器が侵入経路となりました。過去には米国の小売チェーンが、委託先の空調管理業者の社内システムを通じてシステムに侵入され、顧客のクレジットカード情報が盗まれるという事件も起きています。この様なことも有るので、自社システムが何処と繋がっているのかを確認することも重要です。

米国ではセキュリティに多額の費用を掛けています。日本政府も骨太の方針に医療機関のサイバーセキュリティ対策を盛り込むなど力を入れています。診療報酬でも非常時に備えたバックアップ対策で加算がされました。しかし、サイバーセキュリティと利便性は相反するもので、防御を固め過ぎると使い勝手が悪くなりますし、費用も高額になる。どの程度の対策をすべきか、悩む方も多い筈です。そうした場合は、是非、他のセキュリティ業者にセカンドオピニオンを求めて欲しいと思います。サイバーセキュリティ対策の中で、優先度を上げて導入を検討していただきたいのは、専門家が24時間365日態勢でシステムを監視するセキュリティ監視センター（SOC）の利用です。安価とは言えませんが、複数の医療機関が共同でSOCを利用すれば、効率的に運用し、費用を抑えられると思います。NECセキュリティを始め、SOCサービスを提供する会社も増えていますから、地域の医療機関が連携して監視体制を構築することも検討し、必要であれば医療界としても政府に積極的に支援を求めていくことも医療のデジタル化を安全にするために必要だと思います。

サイバー攻撃に対抗するには、攻撃者が嫌がることをする、つまり、攻撃を受けたらその攻撃に関する情報を広く他の機関と共有することが大切です。

被害を受けたら積極的に公表し、警察にも情報を提供して欲しい。警察に情報を提供すれば、犯罪捜査や対策にも役立ちます。患者の命を考え、犯人側の要求に応じて身代金を支払わなければならないこともあるでしょう。しかし、例え金銭を払っても、犯人逮捕のために警察に情報を提供する。遠回りに思えるかも知れませんが、そうしたことが最も有効な犯罪対策となります。

質疑応答

尾尻　日本のサイバーセキュリティは遅れていると言われますが、これは政府の対策などに問題が有ったのでしょうか。

中谷　日本の場合は、長い間アナログで社会も経済も回っていましたが、最近のDXの進展を受けて法整備が進んでいるので、今後はサイバーセキュリティ対策は高度化していくと期待しています。デンマークなど、住民登録などの行政機能のデジタル化を積極的に進めた国のサイバーセキュリティ対策はそうでない国に比べて進んでいます。その理由は単純で、サイバー空間で重要なデジタルデータを処理し、保存するので、サイバーセキュリティを強化する必要があったからです。日本も同様に、社会のデジタル化が進むほど、サイバーセキュリティが重要になります。

荏原太　医療法人すこやか高田中央病院糖尿病･代謝内科診療部長、教育企画管理部長　情報通信インフラとして重要な海底ケーブルの安全確保についてはどうお考えでしょうか。

中谷　現在のインターネット通信の99％は海底ケーブルを通じてなされています。しかし海底ケーブルは想像以上に脆弱で、船の錨程度で切れてしまうのが実態であり、修理するのに２〜３カ月くらいかかります。こうした海底ケーブルの物理的な脆弱性についてあまり議論されていないのは問題だと思います。加えて、海底ケーブルの通じた通信システムに対する通信傍受の脆弱性についても、海底ケーブルというデジタルインフラの安全、安心をどう担保していくかという点から議論すべきだと思います。

中元和也　医療法人社団爽和会お茶の水駿河台クリニック理事長　マイナンバーのシステムと病院のシステムは常時接続していますが、セキュリティ面で不安です。保守点検など、必要な時以外はLANケーブルを抜くなどしておけば安全なのでしょうか。また、業者の保守点検などが切っ掛けでサイバー攻撃を受けた場合、被害を弁償する責任は業者側に有るのでしょうか。

中谷　私自身はマイナンバーシステムについて詳しい訳ではありませんので、そのセキュリティについてコメントできる立場にはありません。しかしながら、LANケーブルを抜くというのはおそらくオフラインでシステムを構築するということを指していると思いますが、一般的に言えば、オフラインのシステムをハッキングすることも可能です。良くあるのは、メインテナンス業者が、自社でインターネット接続して使用しているPCをオフラインのメンテナンス施設に接続して作業して結果、感染する場合です。

髙野覚　医療法人社団明雄会本庄児玉病院理事長・院長　犯罪者に金を支払っても、システムが復旧する保証は無いと思いますが、要求に応じる企業はどの様な判断で支払いに応じるのでしょうか。

中谷　「身代金を受け取れば暗号化を解くキーを渡す」というのは、犯罪ビジネスのモデルとして確立しています。金を払えば確実にシステムが復旧する、という不文律が有れば支払いに応じる企業も増えますから、多くの場合、約束通り暗号を解くキーが送られてきます。そのため、訴訟リスクや風評を考え、払った方が良いと判断する企業も多いと思います。しかし、時にはキーを渡さなかったり、支払った後に更に追加の身代金を要求されたりするケースも無くはありません。また、一度身代金を支払うと、サイバー犯罪グループ間で「あの会社は金を払った」という情報が広く共有されることになるので、何度も狙われるリスクもあります。ですので、私は、可能な限り身代金は払わないという判断が正しいと思います。ただし、経営判断として払わざるを得ない場合、犯罪グループとのやり取りを捜査当局に共有した上で支払うのは、犯人逮捕と同種事案への警戒につながるので取りうる選択肢であると思います。

落合慈之　NTT東日本関東病院名誉院長　医療界では国民の健康や医療に関わるデータを集めて、医薬品や治療法の開発や研究に活用しようとしていますが、それを進めるに当たって注意すべき点は有りますか。

中谷　治療や健康に関するデータの収集はどの国も実施していますが、日本では個人情報に関わる要配慮情報であることの影響か、他国ほど収集や活用が進んできておりませんが、進めるべきと思います。ただ、計算に必要なコストやサイバーセキュリティの重要さを考えると、医療機関が個別に対応するのではなく、医療情報をなるべく１つに集めてビッグデータ化し、防御する場所を少なくして守りを固めるのが不可欠なのではないか、そのためには政府の支援も受け、医療界全体で運用・活用していくのが良いと思います。