医療団体、ITベンダーに「サイバー被害の一部を負担するべき」と提言

sssp://img.5ch.net/ico/monaazarashi_1.gif
医療政策の企画立案などを目的とする日本医師会総合政策研究機構（日医総研）が8月24日に公開した文書が、SNS上で物議を醸している。医療機関とシステムベンダーの契約と責任分担に関するもので、「信義誠実の原則」を理由に「ベンダーのリスク説明が不足している場合、契約に記述がなくても、医療機関側から一定の責任を問える可能性がある」との内容が記されている。

文書のタイトルは「サイバー事故に関し システムベンダーが負う責任：医療DXを推進するために」。医療機関とベンダーには専門知識の格差があることなどから、「システムベンダーは信義誠実の原則に基づく不随義務として、医療機関が安全管理義務を履行するために必要な情報を適切に提供する義務を負う」との見方を示している。

「信義誠実の原則」とは「互いに信頼を裏切らないよう行動すべき」とする法原則。既知の脆弱性についてベンダーが適切に情報提供しない状態で、その脆弱性を原因とする問題が発生した場合は、保守契約に記載がなくても信義誠実の原則違反を理由に一定の責任を問えるとしている。

一方で日医総研によれば、現状実際には保守契約の中に情報提供義務が明記されていない場合、ベンダーがその義務を暗黙の内に負っていると認められる可能性は低く、ベンダー側に責任を問えるケースは「極めて少ない」ととらえている。

日医総研が2022年度に実施したアンケート調査（全数4件）によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったという。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったという。

この意見に対し、X（Twitter）上では「情報提供義務を契約に入れればいいのでは」「誰も医療業界に手を出さなくなりそう」との声が挙がっている。

日医総研によれば、これまでの保守契約は保守点検やトラブル対応などを中心に規定したものが一般的であり、セキュリティ対策について明記することは少ないという。医療機関がセキュリティ対策を求めれば契約料の増額を求められるだろうとして、費用負担は行政が支援するべきとしている。

医療機関では21年からランサムウェアを使ったサイバー攻撃による被害が続いている。徳島県のつるぎ町立半田病院の事例を皮切りに社会問題化し、23年4月には厚生労働省が「医療法施行規則の一部を改正する省令」を施行。医療機関に対して「医療の提供に著しい支障を及ぼさないよう、サイバーセキュリティを確保するために必要な措置を講じること」を求めている。

医療団体、ITベンダーに「サイバー被害の一部を負担するべき」と提言　情報提供不足なら契約になくても責任求める

日医総研が公開した文書がSNS上で物議を醸している。医療機関とシステムベンダーの契約と責任分担に関するもので、「信義誠実の原則」を理由に「ベンダーのリスク説明が不足している場合、契約に記述がなくても、医療機関側から一定の責任を問える可能性がある」との内容が記されている。

www.itmedia.co.jp

サイバー攻撃対策は情シスの仕事だな
情シスの仕事を丸投げしたいのなら
そういうのをアウトソーシングとして請けてる業者に言うべきだろうな

まあ確かに
作ってやったぞあとは知らんが通用せんからな
普通に個人情報の宝庫な上場合によっては人死につながる

マイナンバーの責任はデマ太郎に取らせろ

IT業界ではリスク対策も金次第
見積もりに高いリスク対策費用が追加されるだけでは

いや普通にシステム部立てて自前で管理しろよ

そのぶん保守の費用たくさん取られると思うけどね

サイバー“事故“って事は攻撃された場合は負担無しって事か？

嫌なら永遠にアナログでやってろ

>>5
当然コスト上がるだけの話
後、職員のミスによるものかのログ追加とか有るだろう

何が起こっても人のせいとか医者の考えそうなことだ

>>5
見積もりに追加するだけで中身は変わらんか酷くなると言うね

>>6
ほんまやで
自前でしない時点で終わってる

頭良いのに能無しとはこの事

説明してもいいけど理解できるのかなあ

契約とか法律専門用語はわからない方が馬鹿
ってスタンスだけど

>>11
医療ミスは認めないし責任取らんくせにな

使う側の立場ってのも理解できるけどさ
旭川医大の件とか、7末期でもしばらくXPが動いてたとか
使用者側の責任も少なくないと思うよ

金持ってるくせにいちいちセコいな

利用者側のＩＴラテラシーもそこまで高くなさそうなのがね
院内PCに私物のUSBメモリとか使ったりしてそう

>>6
システムの構築運用技術はいかに場数をこなして経験積めるかが重要
1病院内しか見ていない担当者では場数が致命的に足りない
結果ず、糞システムを作って糞運用で回すことになってしまう

未知の脅威ってのは存在するし
脅威を100％予め説明するってのは無理だと思うんだが
どこまでを求めてるんだ

>>15
分かるわけないやろ
クソみたいな脆弱性でも潜在化していた不具合が一時的に高まった負荷により顕在化したとか適当なこと言っとけば何も分からんやろ
よくあるゴミシステムのバグみたいに

誰も引き受けなくなるくね？

この前救急車で運ばれた病院の待合室ディスプレイに草原の壁紙が表示されてた

実際に病院のシステム開発の設計から実装までやったけどまあ大変だよ
いろんな分野の知識要求されるわリスク高いわめんどくさすぎるわで割に合わん

なんというか雑な理屈だなあ

こんなんだからITが普及しない、アホ過ぎるわ
医者は何も知らんくせに偉そうやからな、どうせvpn外部リモートの脆弱性突かれて文句言ってるだけやろ

>>15
絶対理解出来ん
真面目に解決するなら病院側が技術者として雇うべきだし

医者に例えて言うなら診断ミスを全て把握して
なおかつその責任全て負っているのかって話なんだよな

決定している連中の大半が未だにITをヲタクの延長としか思っていないのだから

医療ITは結構独占事業だった気がするからそんなん途中で潰されるでしょ

コロナの影響を医師も自腹で負担すべき
ならどうする？

医療itなんて大して儲からんしやめたらいいよ

お前んちのシステム作らねーよになるだけやろ
自前で作るならええけど

リスク分の金を払うんなら

値段と比例するだろし、ランサムウェアを防ぐには利用者への教育と利用制限が不可欠

一番いいのは重要な情報はインターネットと切り離す事だけど、DXと真逆の方針だな

fortunateのvpn問題はクリティカルやのに、忠告しても金かかるならやらないとか宣うもん、徳島の病院みたいなってからじゃ遅いのがわからんみたい

>>15
専門て書いてるんだからわからなくてもいいだろ？
お前は医療専門用語わかるの？

仕様のカスタマイズを断る事例が増えそう
Web閲覧の制限や記憶媒体の使用制限、保守費の増額、システム使用期限の設定
ここらは十分あるだろうし

セキュリティは当然最高レベルでお願いするので何かあったらベンダーが責任取ってね

使用端末はVista～
ブラウザはIEも使うからそこんとこヨロシク！

保守費用に上乗せしときゃいい

医療側だがマジでクソみたいな対応のベンダーあるからね

>>4
メロリンキュー！

原因がどこにあるかだろ

>医療機関がセキュリティ対策を求めれば契約料の増額を求められるだろうとして、費用負担は行政が支援するべきとしている

それはめちゃくちゃすぎだろw

保険てないんかな
割あわんか

病院がシステム運営する人間を直接雇用しない限りなにやっても無駄だろ
理解しねーもん

>>38
生きるの大変そう

そーいう契約にしたらいいんでない

>>45
電力もだけどインフラ関係は民営化しても危険信号でたら結局国民にケツもたせようとするよね