医療機関の情報システムに対し外部からのサイバー攻撃が実行された時に、やむを得ず情報ネットワークを遮断する必要性に迫られた場合、どの位の機能停止が、想定される許容範囲なのでしょうか?

(名古屋市・民間病院(140床)・システム課長・43歳)

A.サイバー攻撃による被害の規模や、事業体が置かれた環境により異なります。

サイバー攻撃による被害の規模や、事業体が置かれた環境により異なると考えられますが、ある情報セキュリティの専門家は「多くの事業体ではネットワークの遮断が実行されるが、ネットワークが遮断されることにより、業務がストップしたり営業期間が失われたり等の不利益が生じる。情報インフラが一気に脆弱化することから、一概にネットワークを遮断するのが正しい方法とは言えない」と指摘しています。

それを前提として、やむを得ず遮断を迫られた場合、「3日間が限度。その営業機会の損失はどの位に及ぶのか、許容範囲かどうかを想定しておく必要がある」と指摘。加えて、病院の場合は「一般企業は損害の最小化を最優先するが、医療機関の場合は患者の治療やケアを継続できるかどうかを第一に考えて、対処しなければならない」ことを強調しています。

(2019年8月度編集)