2026-7-8
医療AIプラットフォーム技術研究組合(略称「HAIP」)は医療機関におけるAI・クラウドネイティブ時代のサイバーセキュリティ対策に関する提言を行う。
近年,医療従事者の人手不足が深刻な医療機関において,AIの活用やデータの利活用によって,医療従事者の働き方改革の推進が叫ばれている。また,医療機関へのサイバー攻撃は後を絶たず,特に最近のサイバー攻撃は,AIを用いて行われるケースが多く,さらに使用しているAIを攻撃するケースも登場してきたため,対策の難易度が上がっている。
一方で,医療機関の現状に目を向けると,病院は100床あたりに1名あるいはそれより少ない人数でシステム管理を行っている。この人数で,医療機関内のすべてのITシステムを把握し,CTやMRIなどの医療機器の保守網への接続やPACSや臨床検査システムなどの部門システムの保守網への接続,さらに患者モニタリングシステムや輸液ポンプなどネットワークに接続されたIoMT(Internet of Medical Things)など様々なネットワーク結節点を持つ装置やシステムを監視し,サイバーセキュリティ対策を施すのは極めて困難な状況である。その上,人件費・材料費・光熱費などの上昇により,経営が非常に厳しい医療機関が多いことから,セキュリティ対策の優先順位が上がらず投資が進まない現状が散見される。政府から“様々なセキュリティの対策を打つべし”と言われても何から手をつけたらよいか判らず具体的なアクションに結び付けられない厳しい現状がある。
この様な状況を少しでも脱却できないかとの考えに至り,2023年度から厚生労働省科学研究費補助金「クラウド上の医療AI利用促進のためのネットワークセキュリティ構成類型化と実証及び施策の提言 (23AC1001)」に採択され,国立成育医療研究センター・岡村浩司を研究代表者として,東北大学・藤井進,東北大学病院・中村直毅,徳洲会インフォメーションシステム株式会社・尾崎勝彦氏,福田秀樹氏,国立成育医療研究センター・松井俊大氏,医療AIプラットフォーム技術研究組合・金子誠暁氏,宇賀神敦氏らで研究を進めてきた。本研究の成果を提言の形でまとめ,概要を公開することで,少しでも医療機関の役に立てればと考えている。
【提言の概要】
本提言は,できるだけ少ないIT投資で医療機関のセキュリティレベルをいかに向上させるか,また,医療機関のIT投資へのインセンティブをどう設計するかを中心にまとめたものである(図1)。サイバーセキュリティ対策は,(1) アセスメント(己を知る), (2) 対策(身の丈に合ったセキュリティ対策を行う),(3)‐1 監査(対策が定着しているかを客観的にチェックする), (3)‐2 訓練(有事の際に実際に行動できるか?を確認する), (4)‐1 人財育成(土台を固め全体のレベルを上げる),(4)‐2 意識改革(特に経営陣のセキュリティに対する意識改革を促す)の一連のサイクルを継続的に廻し続けることが極めて重要である。また,上記(1)から(4)を継続的に廻していくために(5) 制度的支援(インセンティブ設計)が必要となる。(6) 医療機関の認定制度まで格上げして,見本となる先行事例を積極的に公開し,医療機関全体で共有していく風土を作っていくことが重要である。
万一,サイバー攻撃を受けてもいかに被害を最小化し,医療の提供を継続できるかを常に考え,日ごろよりIT-BCP訓練を行っておくことが肝要である。セキュリティ対策のゴールは,境界型セキュリティやゼロトラスト型セキュリティに代表される完全防御(ZEROリスク)ではなく,完全防御は困難との視点にたったサイバーレジリエンス型セキュリティの実現である(図2)。AIによるサイバー攻撃が常態化し,完全防御は不可能である前提(WITHリスク)に立って,リスクベースのセキュリティ対策を行うことである。それにより,ひと中心の医療(病院中心の医療から市民・患者中心の医療,また,医療従事者や介護従事者にやさしい医療へシフト)が実現できると考えている。
提言書:医療機関におけるサイバーセキュリティ対策の重要性に関する提言(PDFリンク)
https://haip-cip.org/assets/documents/nr_20260708.pdf
【提言を実践するツール】
HAIPでは,医療機関が自らのサイバーセキュリティ対策状況を簡便に把握できる「Webセキュリティアセスメントサービス」を提供している。本サービスは,「医療情報システムの安全管理に関するガイドライン」や「医療機関等におけるサイバーセキュリティチェックリスト」,ISMSの考え方を反映した質問に回答することで,医療機関のセキュリティ対策状況を可視化し,改善に向けたアドバイスを提供するものである。本提言で示した課題への対応を検討する医療機関には,まず現状把握の手段として本サービスを活用することを勧める。
【Webセキュリティアセスメントサービス】
https://secsrv.haip-cip.org/top
本Webセキュリティアセスメントサービスを「国際モダンホスピタルショウ2026」 (会期:2026年7月8日(水)~10日(金),会場:東京ビッグサイトのHAIP・AIHOBSブースにて紹介する。
●問い合わせ先
医療AIプラットフォーム技術研究組合
E-mail:admin@haip-cip.org
https://haip-cip.org
