TREND

国内外のヘルステックの最新トレンドを知るための情報をお届け

ハッカーから「ゲノム情報」を守るために。日本が今から対策すべきこととは?

2018年12月4日から5日にかけてメドピア株式会社主催で行われた、世界最大規模かつ最もアクティブなグローバル・カンファレンス「Health 2.0 Asia - Japan 2018」。産学官からヘルスケア業界をリードするトップランナーたちが集い、数十にも及ぶセッションが繰り広げられました。

今回は、2日目に行われたセッション「ヘルスケア領域に迫るサイバー危機」の様子をダイジェストでお送りします。

あらゆる産業において、テクノロジー活用を推進していくために避けて通れないのが、ハッカーからコンピュータを守る「セキュリティ」。特に医療機器のセキュリティは、生命を左右するほどに重要な役割を持っています。今回登壇したFred Trotter氏は、日本のヘルスケア企業、そして行政に対して、セキュリティ意識の喚起を呼びかけます。
 ■目次


なぜセキュリティが必要なのか。医療現場で考えうる「3つのリスク」

CareSet Systems CTO Fred Trotter氏
CareSet Systems CTO Fred Trotter氏

Fred Trotter(以下、Fred)CareSet Systems、CTOのFred Trotterです。私はアメリカ空軍でサイバーセキュリティを勉強したのち、医療ITのジャーナリストとして活動。2011では『Hacking Healthcare』の執筆に携わり、医療現場におけるIT導入の「特殊性」などについて論じました。今回のセッションでは「ヘルスケアに迫るサイバー危機」をテーマに、サイバーセキュリティにおける医療の課題を追っていきます。

アメリカ議会は、ヘルスケアのサイバーセキュリティにおける3つのリスクを発表しました。「信用の危機」、「遅効性の災害」、そして「即効性の災害」です。

「信用の危機」は、ネット上に誤った情報が拡散されることで、医療への信頼度が低下してしまうこと。近年では「ワクチン接種によって自閉症が発症する」という誤情報が拡散されましたが、医療や医師に対する信用が無くなってしまうと、誤りを是正しようとしても説得力がなくなってしまいます。これは避けなければいけない事態です。

「遅効性の災害」は、ハッキング被害によってワクチンや医療機器の開発が大幅に遅れてしまうことを指します。2017年には大手製薬会社のメルクがハッキング被害に遭いましたが、予算を被害対策に割かれることで、子宮頸癌に対するワクチン製品の開発が遅れてしまいました。このように「遅効性の災害」には、なかなか気づくことができない潜在的な危険性があります。

3つ目の「即効性の災害」は、医療機器のIoT化によって引き起こされるリスクを指しています。例えばペースメーカーをはじめとした医療機器がハッキング被害を受け、急に機能停止することで、地下鉄サリン事件のような大量殺人やテロ行為につながり得るのです。

医療現場でいまだに「WindowsXP」が使われ続ける理由

CareSet Systems CTO Fred Trotter氏

Fred:あらゆる機器にコンピューターが内蔵される現代。いまやコンピューターなしでは、医療は立ち行かない状況です。私たちには、ヘルスケアにおけるサイバーセキュリティを推し進めるために、考えなければいけない問題があります。

問題の1つが、コンピューターと医療機器における「置き換え期間」の齟齬。MRIをはじめとした医療機器は、とても高額なために10~20年使い続けることを前提として開発されています。しかし、コンピューターのOSは数年でアップデートを行いますよね。医療現場では、MRIに統合できるよう、いまだにWindowsXPを使用している現状があります。

もう1つ、考えなければいけないのが患者さんのデータの価値。数年で有効期限が切れるクレジットカードの情報と違い、人間のゲノム情報は時間が経過すればするほどかえって価値が高まっていきます。過去に不倫のための出会い系サイト「アシュレイ・マディソン」がハッキングされ、被害者の数人が自殺してしまう事件が起きました。ハッカーは、出会い系サイトに登録された個人情報のように、社会的損失になりうる「価値」の高い情報を狙います。それは人間の「ゲノム情報」であっても同様です。

あらゆる場所がリスクになる。ハッカーの心情を先読みし、サイバーセキュリティを推進せよ

CareSet Systems CTO Fred Trotter氏

Fred:これら2つの問題をはじめ、ヘルスケアにおけるサイバーセキュリティを考えるうえで大切なのが、ハッカーの「目的」をしっかりと認識することです。ハッカーは必ずしも「人を殺す」ことをモチベーションにハッキングしようとしているわけではありません。ハッカー集団での評価を向上させるためかもしれませんし、会社の株価を下げることで、儲けを得ようとしているかもしれません。

また私たちは、あらゆる場所から情報漏洩する危険性があることを認識すべきです。例えば、医療機器だけでなく、病院の待合室のテレビに盗聴器を仕掛けたり、ウェブサイトをハックしてデマ情報を流すこともできます。

しかし、ハッカーが会社の何を狙っているのか、「目的」さえ理解できていれば、対策は十分可能です。具体的には、会社であればサイバーセキュリティの専門家を雇うことも解決策の1つですし、州や国としては、政策づくりも必要になってくるでしょう。

私は、これからの日本政府がよりリーダーシップを持ち、サイバーセキュリティを推進していく必要があると感じています。医療領域にITが入り込んでいくこれからの時代、今回の話を通じて、サイバーセキュリティが必要不可欠であることを少しでも知っていただけたら幸いです。本日はありがとうございました。

Fred Trotter

CTO, CareSet Systems

Fred Trotterはヘルスケアデータに関する執筆に携わる、「Hacking Healthcare」の共著者、O'Relly Radarの技術系ブロガー、DocGraph Journal創設者、CareSet Systemsの創立者であり、2016年にはヘルスケアのデータセットを開設した実績からHealthcare Data Liberator Awardを受賞した。彼の技術的なコメントやデータに関する記事は、WiredやForbes、U.S. News、NPR、Government Health IT、Modern Healthcareなどの各種メディアに掲載されている。起業家としては、RackspaceやExault(Verisignに買収)、ClearHealth(オープンソースのEHRを提供)など、複数のスタートアップの成長に大きく貢献した。