CISSMED（Cyber Intelligence Sharing SIG for Medical）は医療分野におけるサイバーセキュリティの共助コミュニティとして2022年に発足した。情報共有プラットフォーム「SIGNAL」の運営などを通じて，医療機関におけるサイバーセキュリティの課題解決に貢献している。医療機関ではサイバーセキュリティ人材の有効活用ができていない現状があり，その解決に向けては診療報酬面での評価など国の取り組みも重要である。

サイバーセキュリティの共助コミュニティとして発足

CISSMEDは，医療分野におけるサイバーセキュリティの情報共有を図ることを目的に，2022年11月，有志によって発足しました。私は設立当初から代表を務めています。私自身は救急科の医師ですが，これまでの勤務先の施設では電子カルテや部門システムなどの導入・運用に関わる機会が多くありました。学生時代から情報システムなどのITに興味があり，大学の教養部の時には，理工系の学生との交流も盛んにしていました。CISSMEDの発足には，この時の友人が関係しています。彼は，金融業界のサイバーセキュリティの情報連携を行うために，2014年8月に設立された金融ISACに関わっています。金融ISACの活動の中で厚生労働省から医療分野でもISACのような組織が必要であり，そのための人材を探していると相談がありました。そこで，彼が推薦したのが私でした。
有志によるコミュニティとしたのは，「何をしたらいいかわからない。困っているから，みんなで何とかしよう」という共助の考えに基づいています。サイバーセキュリティは重要ではあるものの，多くの医療機関では人手を割くことができず，予算も十分に確保できないのが実情です。このような問題を共有しながらベストプラクティスを見つけていくことが狙いです。
活動を開始してから3年が経過し，現在では，200名を超えるメンバー，160施設の医療機関が参加しています。口コミでメンバーが増え，全国津々浦々に広がっていき，年々規模を拡大してきました。メンバーの構成で最も多い職種は事務職の方々で，医師や看護師は多くありません。また，宣伝の場にならないように，医療情報システムベンダーなどの企業関係者は参加をご遠慮いただいています。CISSMEDはあくまでも「ユーザーの会」として運営しており，ユーザーがサイバーセキュリティに関する「実力」をつけて，声を発信していくための場なのです。

「SIGNAL」を中心に医療機関の課題解決に貢献

CISSMEDの活動基盤となっているのが，情報共有プラットフォームであるSIGNALです。メンバーがサイバーセキュリティに関する相談を書き込むと，それに対するアドバイスなどのコメントを別のメンバーが書き込みます。そのレスポンスは30分以内であることも多く，非常にアクティブです。医療機関のメンバーだけでなく，コアメンバーである金融ISACやJPCERTコーディネーションセンター（JPCERT/CC）のサイバーセキュリティの専門家も参加しているので，信頼できる情報を入手したり，適切なアドバイスを受けたりすることが可能です。
具体的な相談内容としては，システム導入時におけるベンダーとの契約などの注意点や，端末のパスワード設定といった運用に関すること，さらには仮想基盤のリプレースの進め方のように実務的な内容が多く，誰もが気軽に悩みを相談して，情報を共有できます。SIGNALではメンバーの氏名と所属が明記されるので，信頼を得やすいということもメリットです。
一方，対外的には，医療情報学連合大会などの学術集会の中でチュートリアルを企画しています。2025年の第45回日本医療情報学連合大会では，「ハンズオンで学ぶデータバックアップの勘所─基礎を理解して診療業務に役立てる」と題したチュートリアルを実施し，CISSMEDのメンバー有志が講師を務めました。内容は，医療機関の情報システム担当者を対象に，データベースのデータバックアップから復旧に至るまでの一連の流れを学べるようにしました。
このほかにも，メンバーを対象に「拡大ミーティング」と銘打ったオンラインミーティングを年2回開催しています。事前にアンケートを行い，その内容を基に意見交換，情報共有を図っています。参加者はカメラをオンにして，顔の見える関係づくりに取り組んでいます。そうすることで，メンバー間につながりが生まれ，ディスカッションが活発になります。
CISSMEDに参加するメリットは，「集合知」を手に入れられることだと私は考えています。金融ISACやJPCERT/CCの専門家の見解も含め信頼性の高い情報を共有でき，個々の医療機関にとってのベストプラクティスを見つけることが可能です。

責任分界点を明確にするためにも人材の有効活用が重要

医療機関へのサイバー攻撃が顕在化し，厚生労働省も対策を本格化している中で，施設側もベンダー側にも，意識に変化が見られるようになってきたと考えています。以前は「医療は特別」という意識が両者にあったようで，医療機器に含まれるコンピュータやVPNなどのネットワーク機器のソフトウエア更新もスムーズにできなかったり，あえて行わないというようなケースがありましたが，そのような状況は少しずつ改善されつつあります。
一方で，ベンダーと医療機関との間で，サイバー攻撃における責任分界点が明確にされていないケースも多いと認識しています。契約の内容が医療機関側に不利になっているケースも見受けられます。古くからの業界の慣習もあるとは思いますが，メンバー間でのディスカッションを通じて，ベンダーとの正しい関係を構築していくことが大切であり，そのプラットフォームとしてもSIGNALが有用であると考えています。
CISSMEDのメンバーには，前職でベンダーのプログラマーやSEを経験しており，サイバーセキュリティをはじめITに関して非常に高いスキルを有している人が多くいます。そういった人たちが実力を発揮し働きやすい環境をつくるために，契約面やベンダーとの関係性を整理していくことが必要と考えます。

災害対策の一つとしてサイバーセキュリティに対する評価を

医療機関にとって，サイバー攻撃による金銭的損失は非常に大きく，診療への影響も甚大になることが予想されます。それだけに，サイバーセキュリティへの取り組みは重要ですが，病院の赤字が社会的な話題にも上るような状況の中で，経営資源を投入することは難しいのが実情です。しかし，「IT-BCPは災害対策の一つ」という位置づけで捉えれば，投資コストは決して高くないのではないかと考えます。医療機関には以前から災害に対するレジリエンスが備わっているため，その強みを生かしてIT-BCPに取り組むことが，経営者層には求められています。
そして，医療機関が積極的に取り組めるように，災害対策の一つとしてサイバーセキュリティに対する診療報酬での評価も望まれます。厚生労働省はサイバーセキュリティやIT-BCPのための施策を推進しており，研修事業の内容も充実させています。診療報酬での評価も含めて，今後さらに取り組みを強化してほしいので，CISSMEDとしても連携・協力したいと思います。

活動を通じ医療現場全体でスキル向上を目指す

私としては，CISSMEDの活動を通じて医療現場全体でサイバーセキュリティのスキルが上がっていき，ベンダーと対等に話せるようになることを目指しています。金融ISACでは，セキュリティは競合ではなくコラボレーティブなものという考え方で，ライバルであるはずの銀行同士が協力し合っています。医療においても医療機関が連携して，サイバーセキュリティに関する課題の解決を図っていけるはずです。
ただし，サイバー攻撃は今後増えることはあっても減ることはないと考えます。閉域ネットワークで電子カルテを運用しているから大丈夫だという時代はすでに終わっています。だからこそ，ベンダーにすべてを任せるのではなく，医療機関がセキュリティやIT-BCPの知識を積み上げて対応していくことが重要です。
CISSMEDではこれからもユーザー目線で，共助のコミュニティとして活動していきます。ぜひ，私たちと一緒にサイバーセキュリティに取り組んでいきましょう。