ホーム
言語切替

ヘルプ情報

「言語切替」サービスについて

このホームページを、英語・中国語・韓国語へ機械的に自動翻訳します。以下の内容をご理解のうえ、ご利用いただきますようお願いします。

  • 1.
    翻訳対象はページ内に記載されている文字情報となります。画像等で表現する内容は翻訳されません。
  • 2.
    機械による自動翻訳のため、必ずしも正確な翻訳であるとは限りません。
  • 3.
    翻訳前の日本語ページに比べ、画面の表示に若干時間がかかる場合があります。
文字サイズの変更
標準
特大
  1. ホーム >
  2. 政策について >
  3. 審議会・研究会等 >
  4. 医政局が実施する検討会等 >
  5. 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ >
  6. 2022年5月27日 第11回健康・医療・介護情報利活用検討会医療等情報利活用WG議事録

2022年5月27日 第11回健康・医療・介護情報利活用検討会医療等情報利活用WG議事録

日時

令和4年5月27日(金)16:00~18:00

場所

WEB開催
TKP新橋カンファレンスセンター16B(事務局、報道関係者のみ)

出席者

構成員(五十音順、敬称略)
  • 秋山 祐治
  • 印南 一路
  • 宇佐美 伸治
  • 大山 永昭
  • 近藤 則子
  • 澤 智博  
  • 田宮 菜奈子
  • 利光 久美子
  • 長島 公之
  • 松川 紀代
  • 三原 直樹
  • 宮田 裕章
  • 森田 朗(座長)
  • 山本 隆一
  • 吉川 久美子 
  • 渡邊 大記
オブザーバー(五十音順、敬称略)
  • 笠松 信幸
  • 喜多 紘一
  • 小泉 立志
  • 小出 顕生
  • 色紙 義朗
  • 高野 博明
  • 高橋 肇
  • 田河 慶太
  • 日原 知己
  • 増井 英紀

議題

  1. (1)医療機関おけるサイバーセキュリティ対策の徹底について
  2. (2)個人情報保護法改正に伴う漏えい等報告の義務化と対応について (個人情報保護委員会)
  3. (3)サイバーセキュリティお助け隊サービスについて (経済産業省)

議事

議事内容
○島井室長補佐 事務局でございます。それでは、定刻になりましたので、ただいまより第11回健康・医療・介護情報利活用検討会医療等情報利活用ワーキングを開催いたします。
 皆様におかれましては、御多用のところ本ワーキンググループに御出席くださいまして誠にありがとうございます。
 本日は、新型コロナ感染症対策の観点から、オンラインによる開催といたしまして、会場での傍聴は報道関係者のみとしております。その他の傍聴希望者の方々はYouTubeから傍聴しております。また、正確な議事録作成や、御意見等の整理を事務局等で正確に行うために、録画をさせていただいております。あらかじめ御承知おきください。
 なお、会議中の御発言は、「手を挙げるボタン」をクリックいただきまして、森田座長の御指名を受けてから、マイクのミュートを解除し、御発言のほどよろしくお願いいたします。御発言終了後は再度マイクをミュートにしてくださいますようお願い申し上げます。
 次に、本日の委員の御出欠状況について申し上げます。本日は、宍戸委員、高倉委員、樋口委員から御欠席との御連絡をいただいております。また、秋山委員、印南委員、宇佐美委員、田宮委員、利光委員より途中参加されるとの御連絡を賜っております。なお、吉川委員につきましては、医療政策部看護情報課の長谷川様が代理出席されると御連絡をいただいております。
 また、本日は、議事2、議事3に当たりまして、個人情報保護委員会様、経済産業省様に御参加を賜っております。
 それでは、資料の確認をさせていただきます。まず初めに、議事次第、続きまして資料1から3及び参考資料1から3の計7点を事前に御案内させていただいております。ウェブ会議の画面上、見にくいとき等ございましたら、当該資料をお手元で御覧いただければ幸いです。
 事務局からは以上となります。
 それでは、森田座長、議事進行につきまして、どうぞよろしくお願いいたします。
○森田主査 皆さん、こんにちは。森田でございます。
 それでは、早速ですが、議事に入りたいと思います。まず議事1、「医療機関におけるサイバーセキュリティ対策の徹底について」につきまして事務局から御説明をお願いいたします。
○田中医療情報技術推進室長 田中でございます。それでは、資料1、「医療機関におけるサイバーセキュリティ対策の徹底について」御説明させていただきます。
 2ページ目、医療機関のサイバーセキュリティ対策の徹底ということで、現状・課題のところでございますが、医療機関のセキュリティ対策は、「医療情報システムの安全管理に関するガイドライン」に基づき、各医療機関が自主的に取組を進めてきたところでございます。昨今のサイバー攻撃の増加や、サイバー攻撃により長期に診療が停止する事案が発生したことから、昨年度、病院への緊急調査を厚労省で行いました。その結果として、なかなか自主的な取組だけでは不十分と考えられるような結果が一部あったことを、こちらのワーキンググループでも前回ご報告させていただきました。
 これに関しまして、対応策として、「重要インフラの情報セキュリティ対策に係る第4次行動計画」こちらのほうは第8回の当ワーキンググループにおいて内閣官房サイバーセキュリティセンター(NISC)の結城参事官からお話をいただいておりますが、この中では、「安全基準等の整備・浸透」、「情報共有体制の強化」、「障害対応体制の強化」、「リスクマネジメント及び対処態勢の整備」、「防護基盤の強化」が挙げられております。これらを踏まえ、短期的な対策として、今回、私どもとしては、長期に診療が停止することがないよう、対策の徹底をまず短期的に行っていきたいと考えております。対応は、大きく「1.平時の予防対応」、「2.インシデント発生時の初動対応」、「3.日常診療を取り戻すための復旧対応」、と3つのフェーズに分けて、この後、説明させていただきます。
 1枚おめくりいただきまして、「平時の予防対応」として、人材育成、情報共有体制の強化、脆弱性機器への対応の徹底を図る必要があるという認識です。1番目として、医療従事者へのセキュリティ対策研修の実施を充実する点で、具体的な対応策として、後述いたしますが、令和4年度診療報酬改定における診療録管理体制加算の見直しを行っております。また、医療機関の管理者及び従事者向け研修等を実施するための院内研修用資材を広く提供し、病院内の研修で活用できるようにする、などに取り組んでまいります。
 2番目として、脆弱性が指摘されている機器の確実なアップデートの実施。これは現在、セプターを通じて、脆弱性が指摘されている機器については医療機関に対し情報提供を行っていますが、これに関し、医療法に基づく立入検査で確認を促すという方針を考えております。また、医療分野におけるISAC設立に向けた検討、これは令和2年・3年度の事業で、このISAC設立に向けた検討を進めてまいりました。今年度はコアメンバーによる設立準備を開始したいと考えております。
 それぞれの具体的な内容について説明させていただきます。
 4ページです。診療録管理体制加算の見直しでございますが、許可病床数が400床以上の保険医療機関については、「専任の医療情報システム安全管理責任者を配置すること」、「当該責任者は、職員を対象として、少なくとも年1回程度、定期的に必要な情報セキュリティ研修を実施していること」、これらを施設基準に追加し、改定しました。今年度は経過措置中で、来年、令和5年4月から実際に運用が開始されるところです。ここにも研修の実施を明記していますので、先ほど申し上げた研修資材の提供には厚労省としてしっかり取り組んでまいりたいと考えております。
 続きまして5ページですが、厚労省が行った病院に対する調査では、脆弱性が指摘されているVPN装置のアップデートを行っている病院は「VPN存在する」と回答した病院(4,120施設)の約6割という結果でございました。今後の対応方針として、令和4年度は、医療法に基づく立入検査の留意事項に、安全管理ガイドライン5.2版に関する記載を新たに追記いたします。また令和4年度中に、医療機関の管理者が遵守すべき事項に位置づけることを併せて検討させていただきたいと思っております。
 6ページはISACについて記載させていただきました。Information Sharing and Analysis Centerの略語ですが、主にサイバーセキュリティに関連する脅威の情報について、各業界内で共有・分析するための組織と位置づけられています。定義という形ではないですけれども、各業界において重要な警戒情報を収集・分析し、インシデントに関するレポートを会員に対して提供するであるとか、インシデント、脅威及び脆弱性が業界に与える影響について関係政府機関への説明を行う。重要インフラ防護の目的において、あらゆる脅威情報を会員間で共有するための信頼できるシステムを提供する。意図的、非意図的に関わらず、政府や他ISACに被害をもたらす、またはその可能性がある事象が発生した場合、専門的な支援や情報共有を行う、こういった機能を担うものとされております。実際、現在ISACが運用されているのは、日本では金融、ICT、電力、米国ではこれに加えてHealth-ISACが実際に運用されています。
 なかなかここに書いてあるような機能、かなりレベルの高い機能が記載されていると思います。まずは今回コアメンバーによって、自主的な共有の組織というのを立ち上げたいと考えております。
 7ページ、次のフェーズ、「インシデント発生後の初動対応」について御説明させていただきます。まさに診療体制の復旧にはインシデント発生時の駆けつけ対応の強化というのが非常に重要でございまして、病床規模ごとに利用できるサービスなどについて明らかにするとともに、適切に各医療機関に周知する必要があると考えています。
 まずはインシデント発生時の駆けつけ対応の強化でございますが、本日の議題3にもございますように、200床未満の病院及び診療所等に対しては、サイバーセキュリティお助け隊の活用というのを促進していきたいと思います。また200床以上の病院に対しては、駆けつけ対応の強化及び医療機関における対応強化を目的に、実際にインシデントが発生したときの現地駆けつけ事例を調査し、医療機関におけるサイバー対策の強化が必要な点などについて明らかにしてまいります。
 こういったインシデント発生時の初動対応を強化するためには、行政機関等への報告の徹底も必要という認識でございます。安全管理ガイドラインに基づいて、厚生労働省への報告を既に、お願いベースで記載しています。これを徹底し、その報告内容を攻撃先が同定されない範囲で医療機関の対策に活用できる方策を検討してまいります。また、本日の議題2にございますが、個人情報保護法改正に伴って、報告の義務化も始まっていますので、この周知も併せて行いたいと考えています。
 8ページが、「日常診療を取り戻すための復旧対応」でございます。まさに長期に診療が停止しない方策として、まず、短期的にはバックアップの実施、この徹底を図る必要があります。今後、長期的には、ランサムウェア攻撃への対策として、当然バックアップの暗号化や秘匿化ということも必要だという認識はございますが、まずはバックアップの体制、実施について徹底を図ることで進めてまいります。
 こちらバックアップの実施の徹底については、「医療情報システムの安全管理に関するガイドライン5.2版」に、具体的な作成について今回明記いたしました。このガイドラインの周知を行うこと、そして、脆弱性とともに、医療法に基づく立入検査の留意事項に安全管理ガイドライン5.2版に関する記載を新たに追加するということで対応方針をお示ししております。
 診療録管理体制加算でございますが、先ほど申し上げた施設基準に加えて、許可病床数が400床以上の保険医療機関についてはバックアップ体制を確保することが望ましく、また毎年7月において、医療情報システムのバックアップ体制等について届け出ること、これを新たに施設基準の中に明記しております。これに伴って、この診療録管理体制加算を算定している医療機関のバックアップ体制については、7月に届出を提出いただき、年度末以降に、内容について御報告が可能となります。そういった結果を踏まえて、医療機関への対策をどうするべきかを改めて検討したいと思っています。
 続きまして9ページ、復旧対策の中に、医療サービスを提供し続けるためのBCPの一環として、災害及びサイバー攻撃等を非常時と判断するための基準であるとか手順、それから復旧時の手順、こういったことをあらかじめ定めておくことがガイドラインの中にも明記されていますが、実際の調査では、こういったことがなかなか行われていないという実態が明らかになっております。それも併せて、ガイドラインの中で既に、5.2版の前から明記されていますが、改めての周知を行うこと、また、医療法に基づく立入検査の留意事項に安全管理ガイドライン5.2版に関する記載を新たに追加するという対応を考えてまいります。
 10ページを御覧いただきまして、これは実際の、令和4年度医療法第25条第1項の規定に基づく立入検査の実施についての抜粋でございますが、立入検査の実施に当たっての留意事項を示したものでございます。記載としては、「①PCやVPN機器等の脆弱性情報を収集し、速やかに対策を行える体制が確保されていること。」、「②診療継続のために直ちに必要な情報をあらかじめ十分に検討し、データやシステムのバックアップを確実に行っていること。」、「③不正ソフトウェア対策を講じつつ、復旧するための手順をあらかじめ検討し、BCPとして定めておくとともに、サイバー攻撃を想定した対処手順が適切に機能することを訓練等により確認すること。」、「④医療情報システムの保守会社等への連絡体制、厚生労働省への連絡体制が確保されていること。」大きくこの4つについて、医療機関におけるサイバーセキュリティ対策の強化を図るために確認を行うことを留意事項にお示ししています。まさに医療機関に対してこういったマインドを持ってもらうことも非常に重要だと思っていまして、このような対応で進めさせていただきたいと思っています。
 資料1についての説明は以上でございます。
 また、参考資料につきまして併せて御説明させていただきますが、参考資料2に、前回このワーキンググループで、サイバーセキュリティの関係でいただいた主な御意見を記載しています。その中で、「全般的な医療分野のサイバーセキュリティに関して検討する場を設置するべきである。」というような御意見をいただいております。この場の設置につきましては、医療機関のサイバーセキュリティ対策については、厚生労働省では安全管理ガイドラインの中で今まで位置づけて、医療機関に対し周知をしてきたところでございます。今般、様々なセキュリティの強化が叫ばれる中で、やはりこの安全管理ガイドラインの中でしっかりサイバーセキュリティ対策を位置づける、新しい情報をしっかり踏まえて書くことが重要だと思っています。今まで、安全管理ガイドラインの改定は、こちらのワーキンググループと作業班での作業と共同して進めてまいりましたが、今回もサイバーセキュリティに関する検討の場として、そういった作業班で具体的な、技術的な御議論をいただくとともに、本ワーキンググループにおいて、それを踏まえて制度的なお話とかも議論していくということで進めさせていただければと思います。
 また、「調査結果を受けて、人材及び費用面の観点も含めてどのように対策すべきか検討するべきである。」という御意見もいただいております。人材育成、そして費用面の観点というところが、本日の資料で十分ではないという御指摘もあるかと思いますが、まずはやはり医療機関にマインドを持っていただくこと、そこに重点を置いています。それから、診療報酬の診療録管理体制加算の見直しなどに伴って、今後医療機関の現状などが明らかになってまいります。それを踏まえて、今後どのような対策が必要かということを改めて議論させていただきたいと考えております。その下にございますような専門的な事項については、先ほど申し上げましたように、作業班などでしっかりと御議論いただき、必要に応じて本ワーキンググループでも御議論いただくということで進めさせていただければと思います。
 事務局からの説明は以上でございます。
○森田主査 ただいま御説明ございました議事1の「医療機関におけるサイバーセキュリティ対策の徹底について」の御説明につきまして、御発言ございましたら、先ほどありましたように合図をしていただければと思います。
長島構成員、どうぞ。
○長島構成員 日本医師会の長島です。医療機関のサイバーアタックによる被害が急増しておりますので、この喫緊の対策というのは非常に重要であり、今回示された3つの点が短期的な対策として重要であるということで、全般的な内容に関しては賛成いたします。
 ただ、そのとき問題になるのが、これらの対策に実行性があるか、実現可能性があるかということです。その観点からいいますと、1つは対象に関して、サイバーセキュリティ基本法では、このサイバーセキュリティというのが「電磁的な情報の漏えい、滅失または毀損の防止その他の当該情報の安全管理」となっています。つまりサイバー攻撃だけではなくて、自然災害、停電、不良管理等、全般的なものも当然対象として行うべきだろうと考えています。
 また、実際に行われるためには、日本医師会の医療機関の調査において、自主的な取組をしたいけれどもできない原因が3つの不足です。1つ目が「知識の不足」、2つ目が「人材の不足」、3つ目が「財源の不足」です。したがって、現在お示しされた3つのものを進めると同時に、この3つの不足を補うようなことも同時にやっていかないと実行性がないだろうと思います。
 その観点から申しますと、まず3ページ、1の平時の予防対応ですけれども、知識の不足を補うものとして、この研修というのは非常に有効だろうと思いますし、ISACによる情報共有も非常に有効と思いますが、研修の資材というのを十分に準備していただくことは重要ですけれども、研修を受けても、そこで起こった疑問、「うちの医療機関ではどうしたらいいんだろう」というものに対応するものが必要になるので、そのような相談窓口とか支援者というものが重要かと思っています。
 それから、2番目の医療法に基づく立入検査ですけれども、これは、この立入検査の考え方というのが非常に重要です。これがペナルティー的なものとなると非常によくありません。ここは、まずは立入検査をするということを明確化することで、経営層にサイバーセキュリティ対策の重要性、必要性をしっかりと御理解いただくこと、2つ目に、ではどのような具体的な対策をすればということを具体的に行うことで、対策をしやすくすることですけれども、実際の立入検査において、さっき言った3つの不足により十分な対応ができなかった場合に、ペナルティーを課すのではなく、そこがどうすれば実現できるかというような支援・助言を行うための検査というふうに、ぜひ位置づけていただく必要があると思います。そうしないと、これは実行性がございません。
 それから、4ページ目のセキュリティ対策研修の充実というところは、病院の規模、医療機関の規模に関わらず、日本中の医療機関が研修できるような機会というのをぜひ作っていただきたいと思います。
 それから、5ページ目のVPN装置のアップデート等に関しては、これは医療機関だけでは、知識の不足で、自分のところにどんなものがあって、どう対応すればいいのか分からないところも多いので、システム事業者あるいは医療機器の事業者などの業界、業者の協力なしには無理です。したがって、国からぜひその業界、業者に対してもしっかりと働きかけを行って、協力、あるいは医療機関に情報提供いただくという、両方からの仕組みをぜひお願いいたします。
 そして、6ページ目のISACですけれども、これは非常に役に立つとは思いますが、ここでもやはり、まずはしっかりとした中心的な方、あるいは専門的な方が、しっかりとした連携、情報共有の体制を作っていただいて、そこに参加していく。あるいは、ここで得られた情報を、例えば医療セプターなどの仕組みを使ってしっかりと全国の医療者に伝えていくという仕組みの構築が重要かと思います。
 7ページの初期対応、これは非常に重要で、そのためには、このサイバーセキュリティお助け隊のようなものは非常に重要かと思いますし、あるいは内閣府のNISCなど、あるいは様々な都道府県警にもサイバーセキュリティに関する部門ができているというところで、まずはそれぞれでできることをやっていただくことも重要です。が、それがばらばらにやると非常に混乱するので、ぜひ厚労省がリーダーシップを取って、そういう様々な試み、仕組みを、横串を刺して全体を調整する、連携させるという司令塔、これをぜひ厚労省がやっていただきたいと思っております。
 それから、8ページ目の復旧対応、これは非常に重要ですけれども、単純にバックアップを取っただけではなく、そのバックアップで実際にシステムがリカバリーできるというところまでしっかりやっていただく必要があるだろうということです。そのためには、これは病院団体への調査でかなりの費用がかかるということがはっきりしていますので、やりたくてもできないところが多いので、ここはもう必ず、補助金等を使った資金援助というのは絶対必要かと思っております。
 もう1点、様々な取組が重要ということで、実は医師会でも現在、会員のサイバーセキュリティ対策を支援する仕組みを準備しています。その中では、まず相談窓口ということで、ごく些細なトラブルから重大なトラブルまで、それを相談できるような窓口をしっかり設置しようということと、平時のセキュリティ対策強化に向けた支援もしたいと思っています。日本医師会としてもしっかりと対応していきたいと思っています。
 私からは以上です。
○森田主査 ありがとうございました。時間も限られておりますので、この後、山本構成員、三原構成員、そして吉川構成員代理の長谷川さんにお願いしたいと思いますけれども、事務局の回答は終わった後でまとめてしていただきたいと思いますので、よろしくお願いいたします。
 それでは、山本さん、どうぞ。
○山本構成員 長島先生から詳細にコメントがあって、大部分は私も賛成です。それで、それに付け加える点を少しだけお話ししたいと思います。
 まず、この資料の2ページ目に、「1.平時の予防対応」、「2.インシデント発生後の初動対応」、「3.日常診療を取り戻すための復旧対応」とあるんですけれども、この1と2の間に、実は「検知」というフェーズがあるのですね。これが意外と難しい。実際に何かが起こっているときにそれがおかしいと気づくことが、本来はITシステムの管理を専門にしているところでないとなかなかすぐには気づかなくて、実際には電子カルテが止まってしまってから気づくということが多いと思うのです。この「検知」のフェーズに関しても検討を加えることをぜひお願いしたいと思います。
 「検知」には、少なくとも各医療機関で検知するような機器があることはあります。今のガイドラインでもIPS、IDSというのが書かれているのですけれども、これは自動的に処理するだけではなくて、担当者にメールが飛ぶようになったりしているわけですけども、実際にはそれが全然見られていないというようなこともありますので、そういう体制の整備というのも研修の中でしっかりと加えていただきたい。
 それからもう一つ、各医療機関の努力だけではなかなか難しいのですが、今、例えば霞が関WANでは、その霞が関WANの中にSOCがあって、そこで24時間監視をしています。これは非常に大きな規模でないとなかなかやりにくいのですけれども、医療機関全体でやれば、多分やれると思うんですね。そういう意味では、今のオンライン資格確認等システムのネットワーク、これをうまく活用して、医療機関の出入口はそこに集めてくると、それを国全体で管理、また監視をするというふうな仕組みをつくっておくと、例えば年金基金の問題が霞が関WANのSOCで発見されたように、医療機関も早期発見することが可能になる。多分すぐにはできないと思いますけども、中長期の課題としてぜひ検討いただければと思います。
 研修とか知識という言葉があるのですけども、やっぱりある程度の病院になるとガバナンスの問題なんですね。要するに、責任者が自分たちの情報環境をどう把握しているかということが非常に問題で、これは個々の技術的な話というよりも、こういう情報システムのガバナンスの一般論のポリシーの話で、この整理については、私が厚労科研の研究で少し進めておりますけども、ぜひ活用していただきたいと思います。
 以上です。
○森田主査 ありがとうございました。
 それでは続いて、三原構成員、どうぞ。
○三原構成員 ありがとうございます。もう両先生方から各論、基本的なことはもうおっしゃっていただいていますので、付け加えることはほぼないんですが、システムを担当している部署の意見としまして、やっぱりこういうインフラに手を加えようとすると、相当なお金と時間、人がかかることはもう皆様もご存知のとおりですし、あと、入れただけでは駄目で、それをどう活用していくか、息の長い取組が必要になると思っています。数年単位、下手するとずっと続けていくということが必要ですので、ぜひ単年度で終わるようなことのない、全体ロードマップを見据えた上で、どこからやっていくか、いつまでどういうふうにやっていけばいいかをお示しいただけるとありがたいと思っています。
 以上です。
○森田主査 ありがとうございました。
それでは、長谷川さん、お願いします。
○吉川構成員代理(長谷川) 資料のスライド7で、インシデント発生時の駆けつけ対応としてサイバーセキュリティお助け隊の活用促進についてお示しいただきましたが、ぜひインシデント発生前の予防段階でも何か活用できるサービス提供もご検討いただきたいです。特に訪問看護など、例えば自分たちで専従の医療情報担当者がいないような施設の場合、ハードウェア、ネットワーク、OS、ソフトウェアそれぞれについて、自分たちが導入している機器の設定が正しいのか、セキュリティ対策が正しく取れているのかが確認できていない可能性もあるかと思われます。もちろん導入する際に、ベンダーがガイドライン等を遵守して設定してくださっているとは思いますが、複数ベンダーが入ったときなど、全機器の設定や対策状況を把握しきれない部分もあるかと思います。そのため、予防段階から何かサービスがあるといいかと思います。先ほど長島先生からも相談窓口のお話がありましたが、それに近いかもしれませんが、ぜひ御検討いただけたらと思います。
 以上です。
○森田主査 ありがとうございました。
それでは、大山構成員も手を挙げていらっしゃいますので、どうぞ。
○大山構成員 ありがとうございます。今まで長島先生、山本先生をはじめ皆さんがお話になっていることは、私も基本的に賛成でありますし、そういう意味では、厚生労働省の医療関係の分野でここまでセキュリティの話がしっかり議論されるようになってきたというのは、時の流れもありますが、よかったのではないかと思っています。少し遅いぐらいかなと思うぐらいではありますが、結構な話だと思います。
 ただ問題は、計画を作って、あるいはこうやりたいという話はありますが、どうやるかということが書いていなければやっぱり駄目で、ここについては、昔よく、勉強しているときに、論文を読むのに、コピーすると読んだ気になってしまうというのと同じようなことにならないよう、ぜひそこはしっかりと対応いただきたいと思います。
 その意味では、医療分野における他分野との違い、もしこれがあるのであれば、はっきりすべきだろうと思います。といいますのは、かつて、セキュリティの関係を勉強してきた者としてさんざん教えられたのが、セキュリティ対策にかける費用は損害とのバランスであると言われてきました。その意味では、医療分野における損害というのがいま一つはっきりしていない。非常に大きな損害になる、あるいは信頼を失うことは致命傷になるんだということは、観念的には分かっているのですが、これについて、では医療分野における関係者、あるいは経営者の人たちがそれをどこまでどのように認識なさっているかということについては、皆さんの努力にもかかわらず、必ずしも十分と言えるかどうかはちょっと疑問のあるところでございます。その意味で、損害という、セキュリティにかける費用のバランスの相手となるものはどうなのかというのを、改めて、私はこういうガイドラインというような方向性を書くものに関してはしっかりと述べるべきではないかという気がいたします。
 その意味で、現在の状況から将来に向けて持っていくための行動計画をできるだけ早くつくっていただきたいというのはもちろんでありますが、今、山本先生もお話しになりましたけど、オン資のネットワーク、これは医療分野という、今ここで話題になっている業種業態といった中での安全性を確保する一つのやり方だと思います。これから、インターネットに代表されるようなオープン系において、ゼロトラストのような技術を使って広げていくのか、この将来へのアプローチの仕方、あるいは編成の仕方というのを、現実的な問題として議論していくことが必要ではないかと思います。
 以上2つ申し上げました。1つは、経営者の方の認識をしっかりしていただくための損害についてはっきり考えてみるべきだと、それから、将来に対するアプローチの仕方をもう1回明らかにしたほうがよいのではないかという、以上でございます。ありがとうございました。
○森田主査 ありがとうございました。
 一応手を挙げられた方には御発言いただきましたので、それでは事務局のほうから、まとめてお答えいただけますでしょうか。
○田中医療情報技術推進室長 事務局でございます。貴重な御意見ありがとうございました。
長島先生から、大変貴重な御意見いただいておりますが、まずは対象について、サイバーセキュリティのみならず、自然災害や管理ミスというのも多いというお話がございました。これはまさに、NISCに前回お話しいただいたときにも、実はサービス停止の事案としては、サイバー攻撃というよりも、管理不十分で発生したものが多いということを実際にお示しいただいたところでございます。サイバーセキュリティのみならず、やはりこういったサービス停止になる、診療が止まる、その原因としていろいろなものがあるので、そういったことも踏まえてしっかりと周知をしてまいりたいと思います。
 あと立入検査、今回留意事項に明記をしておりますが、これは御指摘いただいたとおり、ペナルティーを課すということではなくて、やはり医療機関がよりセキュリティの対策を強化していくための検査で、その検査の機会をよりよい対策に生かしていただくように,
ぜひともしてまいりたいと思います。費用の面とかいろいろ御意見をいただきましたが、まずは現状をしっかりと把握し、しっかりと考えていきたいと思います。
 山本先生からは、オン資の仕組みを使って、セキュリティ監視のお話がございました。これは中長期的な課題としていただいたと認識しておりまして、まさに医療機関のセキュリティをどのように監視していくかというのは、長期的に議論していかないといけないという認識はございますので、前向きに検討したいと思います。検知のフェーズについても、まさに非常に重要なところだと思います。担当者が気づくまでに時間がかかるというのは、何かあったときの初動が遅れるということでございますので、検知のフェーズについても安全管理ガイドラインなどでしっかりと位置づけていくことを検討したいと思います。
 それから、いわゆるロードマップです。どのように今後していくのかということをお二人の先生から御指摘いただいたと思いますけれども、なかなか技術がいろいろ変わる中で、どこまで明確にロードマップが描けるかということはまさに議論するところかと思いますけれども、全体として、医療機関にどういったことを求めていくのかみたいなことの観点から分かりやすい形でお示ししていくことは大事だと思いますので、どのような形でお示しできるか、事務局のほうでも考えたいと思います。
 それから、大山先生からは費用と損害のバランスのお話がございました。まさに経営者層に響くお話は、そういった観点、非常に重要だと思っていますが、なかなか損害の把握が非常に困難というのが今までだったと思うんですけれども、明確にそのバランスについて議論できるかどうかは、今申し上げられない部分もございますが、そういった観点で経営者の方たちに御理解をいただくということは、事例の報告も含めて有効かと思いますので、まさに長期にわたって診療が停止したような事例では損害額についても報道などで出ておりまして、そういった事例を出すことでも経営者の先生方に響く部分というのはあるかと認識しています。
 それ以外の専門的な御意見などについても、引き続き作業班を通じ、お答えできるように取り組んでまいりたいと思います。厚労省としては、こういった取組を強化していくことが、まさに医療DX、医療の電子化を進めていくのに、非常に根本として、皆様に安全に、安心して活用いただくためには大変重要なことと認識しております。このワーキンググループの先生方の御意見をいただきながら、サイバーセキュリティ対策をDXとともに、一緒に進めていく認識をしております。引き続きの御協力をいただければ幸いでございます。ありがとうございました。
○森田主査 ありがとうございました。それでは、この件についてよろしいでしょうか。
 特に御発言ないようですので、次の議事に移りたいと思います。
 次は議事2、「個人情報保護法改正に伴う漏えい等報告の義務化と対応について」、これは個人情報保護委員会のほうからご説明をお願いいたします。よろしくお願いいたします。
○小田倉監視・監督室参事官補佐 皆様、こんにちは。個人情報保護委員会事務局の小田倉と申します。どうぞよろしくお願いいたします。これから、短い時間ではございますが、個人情報保護法改正に伴う漏えい等報告の義務化と対応についてご説明申し上げます。よろしくお願いいたします。
 それでは、スライドを1ページ進めていただければと思います。漏えい等の報告につきましては、令和2年の個人情報保護法改正前は、資料の改正前のところにも記載しておりますとおり努力義務でございまして、2015年の改正法が施行されました2017年以降、当委員会の告示に基づき多数の報告がされているところでございますが、法律上の義務ではなかったために、中には報告がされないという事案もございました。よって、漏えい等が発生した場合に、当委員会が事態を早急に把握し、これから申し上げるような必要な措置を講ずることができるようにする必要がありましたため、令和2年の個人情報保護法改正において、個人の権利利益を害するおそれが大きい漏えい等事案について、当委員会への報告と本人への通知が義務となりました。漏えい等事案の全ての事案ではなく、これからご説明します一定の場合が報告の義務となってございます。漏えい等の報告が義務化された「個人の権利利益を害するおそれが大きい場合」とは、当委員会の規則で4つの場合を規定しておりますので、次のスライドでご説明させていただきます。
 漏えい等の報告が必要となる事態とは、スライドの上のほうに示してございますが、まず一つ目としまして、「要配慮個人情報の漏えい等」であります。これは、例えば一般の会社において、従業員の健康診断の結果等の要配慮個人情報を含む個人データが漏えい等した場合であり、一般の会社に加えて、医療機関の方や薬局の方などからも報告いただくことが多くなってございます。
 二つ目は、「財産的被害のおそれがある漏えい等」でございます。こちらは、例えば個人データであるクレジットカード番号が漏えい等した場合が該当します。財産的被害に結びつくような情報が漏えい等した場合というふうに考えていただければと思います。
 三つ目ですが、「不正の目的によるおそれがある漏えい等」でございます。これは、本日のテーマでありますような、運営するシステムに不正アクセスを受けた場合等が該当するものでございます。
 最後に、「1,000件を超える漏えい等」ですが、こちらは今までのような漏えい等の内容によるものではなくて、件数による要件でございまして、漏えい等した個人データの数が1,000件を超えた場合が全て該当します。例えば、システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっており、当該個人データに係る本人の数が1,000人を超える場合とか、1,000人を超える個人データが記載された資料の紛失などが該当します。
 次に、漏えい等の報告のルールについてご説明申し上げます。漏えい等の報告は、原則、速報と確報という二段階で行っていただく必要がございます。スライドの下のほうに示してございますが、速報につきましては、漏えい等が発生し、又は発生したおそれがある事態を知った時点で、速やかに、「速やかに」とは、ガイドラインにおいて、知った日からおおむね3日から5日以内とさせていただいておりますが、その時点で把握している内容をご報告いただくこととなります。速報は知ってから間もないので、漏えい等報告の全ての事項を埋めて報告してくださいというわけではなくて、早めに我々に事態を知らせていただくということが主眼になっていますので、その時点で把握している内容をご報告していただけば足りることとなります。
 その後、調査等を行っていただいて、全ての報告事項を確報として、漏えい等が発生し、又は発生した恐れがある事態を知った時点から30日以内、先ほど報告が必要な事態の4つの類型をご説明申し上げましたが、その中の3つは30日以内ですが、不正の目的によるおそれがある漏えい等の場合のみ、60日以内に確報をご報告いただく必要がございます。不正アクセスの場合は、発生を知った後のフォレンジック調査とか、やはり調査に時間がかかるということで、30日ではなかなか報告が難しいというところもございまして、60日以内というふうになってございます。
 すなわち、漏えい等を起こした、またはそのおそれを覚知した事業者さんは、その時点から概ね3日から5日以内に、当委員会のホームページにございますウェブフォームから、その時点で把握している内容を速報としてご報告いただき、その後、調査や再発防止策などの策定を行っていただき、30日以内、不正アクセスの場合は60日以内に確報をご提出いただくというような流れとなります。ご報告いただく内容につきましては、個人情報保護委員会規則で決めている内容となりまして、参考情報として、当委員会ホームページに記載例を掲載させていただいておりますので、後ほど御覧いただければと思います。時間の関係でご説明は省かせていただきますが、事案の詳細から、御本人への対応の状況、漏えいした人数、あと一番重要と考えておりますのは、再発防止策を策定し、ご報告いただくというような内容となってございます。
 次のスライドをお願いいたします。今まで事業者の方の観点からご説明させていただきましたが、最後に、漏えい等のご報告をいただいた後の当委員会の対応についてご説明させていただきたいと思います。
 漏えい等の報告につきましては、当委員会に直接いただく場合と、一部当委員会の権限を委任させていただいている府省庁さんを通じていただく場合がありますが、府省庁さんを通じていただく場合も個人情報保護委員会に最終的には共有いただきます。当委員会に直接ご報告いただいた場合、例えば不正アクセスの事案の報告をいただいたとしますと、速報を受領した後、当委員会側でその事案に対する担当者が決まります。その担当者におきまして、この表では真ん中の青枠の中になりますが、事案に対する調査を行うことになります。この調査については、事業者の皆様へヒアリングを行ったりとか、フォレンジック調査というものをされていれば、そういう結果をいただいたりして、事案の原因等の調査や再発防止策を作っていただいて報告いただきますので、その妥当性、その他本人への対応の状況の調査等を実施させていただきます。その際に、必要に応じまして、枠の右側にもありますが、当委員会の権限として、報告徴収、立入検査の権限がございますので、場合に応じてそのような権限を使用して調査を行うこともございます。その後、担当者と事業者様の間でいろいろやり取りをしていただきまして、担当者のアドバイス等を踏まえて、事業者の皆様には、先ほど申し上げたような、今回の不正アクセスを例としますと、60日以内に確報を御提出いただくこととなります。確報を確認させていただきまして、それでも必要であれば、枠の下のほうに、我々の権限としては再発防止などに努めていただくよう、指導・助言、勧告などの権限を行使させていただくことがございます。
 資料の説明としましては、以上ですけれども、今回はサイバーセキュリティに関する会ということですので、我々にご報告いただいている状況を少しだけ申し上げますと、昨今、不正アクセスによる漏えい等の報告というのは非常に多くございます。特にマルウェアによる不正アクセスというものの報告は増えている状況かなと思っておりますので、医療機関の皆様にも、遠いところで起きているわけではなくて、身近なものと捉えていただき御注意いただくとともに、もし個人データの漏えい等が発生してしまった場合には、適切な再発防止策を行っていただくためにも、当委員会に速やかにご報告いただければ幸いに思っております。
 また、漏えい等の発生の原因には、先ほどもおっしゃられた方がいらっしゃいましたが、人的な要因や技術的な要因などいろいろございます。当委員会のホームページにおいて、今まで発生した、不正アクセスだけではないですが、漏えい等の事例を基にしたヒヤリ・ハットや注意喚起など、また従業員の皆さん等への研修教材等も掲載しておりますので、ぜひ一度御覧いただければ幸いに思います。
 本日、私からのご報告は以上でございます。御清聴ありがとうございました。
○森田主査 ありがとうございました。ただいま個人情報保護法の改正の内容につきまして御講演いただきましたけども、ただいまのお話につきまして御意見、コメント等ございますでしょうか。
 松川構成員、どうぞ。
○松川構成員 ありがとうございます。COMLの松川と申します。
質問なんですけれども、資料の2ページにありました「漏えい等報告はどのような事案で行う必要がありますか」の4つ目に、「1,000件を超える漏えい等」とありますが、事業者によっては保有しているデータの量が大分異なると思いますけれども、データ全体の何%か1,000件どちらか少ないほうというようにせずに、1,000件で区切った理由が何かあれば教えていただきたいと思いました。
○森田主査 これは個人情報保護委員会小田倉様、お願いできますか。
○小田倉監視・監督室参事官補佐 私も直接法改正に携わった部署の者ではないので、定かではないですけれども、やっぱりパーセンテージというよりは、漏えい等事案が与える影響を考慮し、ある程度人数で、1,000件を超える場合には大きい事案と捉えて改正したと認識しております。
○松川構成員 そうですか。分かりました。ありがとうございます。
○森田主査 よろしいですか。ほかにいかがでしょうか。
 山本構成員、どうぞ。
○山本構成員 スライドの3ページ目の上のほうで、委任先府省庁との連携というのがあると思うのですけれども、こういったインシデントが起こった場合、医療機関はどちらかというとサイバーセキュリティの被害者なわけです。その被害者の組織がたくさんの省庁に別々に報告するというのは非常に業務の負担が重くなるわけですけども、例えば、個人情報保護委員会に報告すれば厚生労働省の医政局にもきちっと情報が流れるというルートは確立されているのでしょうか。
○小田倉監視・監督室参事官補佐 お答え申し上げます。委任をさせていただいている省庁は決まっておりまして、現在は厚生労働省には委任は行っておりませんが、例えば金融分野の方は、金融庁に委任されておりまして、そちらの分野の事業者は、当委員会と並行してではなくて、金融庁に報告をしていただくという形で一元化されてございます。
 委任をしている理由としましては、例えば金融機関で漏えいが発生した場合、我々が対応するよりも、金融庁がふだん監督を行っている金融機関に対する知見を基に対応していただいたほうがより適切な対応ができるということを踏まえて委任をさせていただいておりますので、一義的な対応は金融庁でやっていただくということで、二重に報告をいただくような建て付けにはなっていない状況でございます。
○山本構成員○ じゃあ今日議論している医療機関の場合は、まだそういう話し合いはできていないということですね。
○小田倉監視・監督室参事官補佐 はい、医療機関は現状、委任分野にはなっていませんので、直接当委員会に報告をいただきまして、個人データの漏えい等につきましては我々当委員会とやり取りをしていただくという形になってございます。
○山本構成員 できれば何とかしてほしいです。医療機関からすると、いろんなところに全部届けないといけないというのはかなり負荷が高いですし、逆に言うとおろそかになりかねないというところがあると思います。
 どうもありがとうございました。
○森田主査 それでは、大山構成員、お願いいたします。
○大山構成員 すみません、ありがとうございます。今の3ページ、もう1回表示していただけますか。
 ちょっとストレートに聞くので、勘違いだったらいいんですけど、例えば自分が小さな診療所か何かを開いていて、診療所の例を挙げるのは差し障りがあったらごめんなさい。何でもいいんですが、個人情報が出て、漏れちゃったと。そうすると漏えい等報告をするのは多分、本人ですよね。結果として何が起こるかというと、指導・助言、最後の緊急命令、勧告、どれでも自分に返ってくるわけなので、報告しなきゃいけないのは分かっているんだけど、すると、すごいもっと大きな罰が返ってくるような感じが気がしてしまうんですけど、ここのところに対してはどういう対応の仕方、あるいは、もう義務なんだからしようがないんですよと言っているのか、その辺、もし差し障りなければ教えていただきたいと思うんですけど、いかがでしょうか。
○小田倉監視・監督室参事官補佐 報告をすると、すぐ罰則などが課されるのかみたいな質問はよくいただくんですけれども、資料の中に矢印で書いてあるんですが、権限の行使はあくまでも必要に応じてという形になってございます。漏えい等報告をいただいて、先ほど申し上げましたとおり、やってしまったことを責めようと思って我々も報告をいただいているわけではなくて、適切な原因を分析して、適切な再発防止策を立てていただくということに漏えい等報告の意義があると思っておりますので、アドバイスを踏まえて適切な再発防止策を書いていただいた確報というものを出していただければ、それでもう対応が終わりということが大半かと思います。それでも中には重大な事態とか、社会に影響をすごく及ぼすような事態では、ちょっと体制面を変えてくださいというような指導とか助言、中には勧告を行うような例もあるんですけれども、頻繁に何でも指導して、あれをやれ、これをやれというふうなものではないというような捉え方をしていただければと思います。
 逆に申し上げますと、個人のクリニックの先生などは、例えば不正アクセスの知見等をあまりお持ちでないケースもございますので、こういうふうにやっていただいたらいいんじゃないでしょうか、または、こういう再発防止策、こういう技術があるので、ベンダーの方にこういう相談をしたらいいのではないでしょうかというような知見に基づいた当委員会からのアドバイスを受けていただくために報告していただいているというような捉え方をしていただければと思います。わざわざ何か罰を受けに行くために報告をいただくという視点で我々もやっているわけではございませんので、むしろ自分たちのために、アドバイスをもらうために積極的に報告をするというふうに捉えていただいてよいと考えてございます。
 以上でございます。
○森田主査 大山構成員、よろしいでしょうか。
○大山構成員 はい。ありがとうございました。
○森田主査 それでは、長島構成員、どうぞ。
○長島構成員 今のに直接関係する質問です。報告の義務を果たさなかった場合の罰則はどうなっているでしょうか。
○小田倉監視・監督室参事官補佐 報告の義務を果たさなかったことにおける直接的な罰則はありませんが、例えば報告をしていただけなかった事案について報告をしてくださいというような、勧告、命令を行って、命令は違反された場合に、最後の3ページのスライドにも書いてありますが、罰則等がつきますので、そのような場合に罰則が課される可能性があるということでございます。
○長島構成員 とすると、義務はあるけど罰則はないと。ただ、先ほど御指摘があったように、報告した場合、内容によっては例えば罰金等があるとなると、これはなかなかモチベーションにならないので、ここのところ、報告した後、むしろしっかりと支援とか助言とかを得られると、ごく例外的、非常に悪質な場合等にだけ罰金がかかるんだというようなことをきちんとお伝えいただかないと、なかなか報告が進まないと思いますが、その辺りいかがでしょう。
○小田倉監視・監督室参事官補佐 そうですね、対外的には、勧告とか命令とか指導・助言の件数というものを公表させていただいておりまして、今おっしゃったように、勧告、命令に至る例というのは非常に年間でも少ないと、その公表を見ていただければ分かるかと思います。命令に違反した場合で、さらに悪質であるなど、当委員会が必要と判断した事案において罰金がかかりますので、通常、相当な悪意等がない限りは罰則がかかることはないと捉えていただければと思います。
○長島構成員 そこのところをもう少し分かりやすく広報していただけるとありがたいです。
 私からは以上です。
○森田主査 よろしいでしょうか。ありがとうございました。
 今のは日本の法令の場合に時々見られるんですけども、いわゆる報告をするインセンティブというものをどういう形で提供していくかというときに、制度上もう一つ、工夫があったほうがいいのではないかと、私の個人的な感想ですけれども、思います。皆さん善人であるという前提で初めて成り立つ仕組かと思います。
 ほかに、この件に関しまして御発言はいかがでしょうか。よろしいですか。
○小田倉監視・監督室参事官補佐 今いただいたご発言は組織の中でも報告させていただきたいと思います。よろしくどうぞお願いいたします。
○森田主査 分かりました。報告義務はございませんけれど、よろしくお願いいたします。
 それでは続きまして、議事3に入らせていただきたいと思います。
 それでは、「サイバーセキュリティお助け隊サービスについて」、これは経済産業省のほうから御説明お願いいたします。
○奥田サイバーセキュリティ課長 経済産業省サイバーセキュリティ課の奥田といいます。よろしくお願いいたします。
 それでは、資料に沿いまして、お助け隊サービスについて御説明をさせていただければと思います。
 1枚めくっていただきまして、背景としましては、我々経産省は、中小企業のサイバーセキュリティ対策をどうしていくのかというところが非常に大きな課題になってきているところで、どういったサービスを提供していくのがいいのかということで検討してきた結果として、昨年度からこのサイバーセキュリティお助け隊サービスというものを民間の事業所に提供していただいているという状況になっていますので、少しその経緯も含めて御紹介させていただければと思います。
 1枚目で御紹介しているのは大阪商工会議所さんの調査ですけれども、平成30年から31年にかけて実施されたものでございますが、その当時から、左側のところを見ていただきますと、30社調査をしていただきまして、30社全てでサイバー攻撃につながり得る不審な通信が記録されていたということです。これは通信だけですので、実際に何かインシデントが起きたわけではないんですけども、やはりそういう通信が行われているということと、そのうちの5社では情報が外部に流出したおそれがあることが分かったということ。そのさらに先の調査で、従業員100人以上の企業を対象にして、取引先で被害があるかどうかということで、25%の方が自社に取引先の影響が及んだということですから、やはり中小企業も含めてきちんと対策を取っていくことが必要だということで検討を進めてきたところです。
 次、お願いいたします。その結果も踏まえまして、我々経産省で2019年-2020年にかけて実証事業をやり、実際に今展開しているようなサービスを実施したときにどのぐらいの効果があるか、またその事業が実施できるかという検証をしてまいりました。その中で、やはり事例が起きてございまして、いくつかの事例をここに御紹介してございますが、全体としましては、1,000社以上の参加をいただいた中で、具体的な対処を行った件数が128件ということで、大体1割強ぐらいのところがこの実証期間に何らかのインシデントを受けているという形になってございます。
 具体的な例が下にいくつかございますが、1つは、例えば古いOSを使っていて、ふだんはネットワークに接続をしていないので問題がないという状況だったわけでございますが、プリンターを接続するために社内のLANに接続をして、古いOSだったものですからマルウェアが挿入されていて影響を受けたといったものでございます。
 2つ目の私物端末の利用というところでいいますと、私物のiPhoneが社内のWi-Fiに接続されていて、そこから侵入されるということで、通信を検知して駆除したという案件ですとか、また、出張先でホテルのWi-Fi利用のときにマルウェアに感染してしまって、当該企業の取引先にも影響を及ぼしてしまったという案件。また、その右、サプライチェーン攻撃というところでは、取引先のメールがハックされてメールアドレスが漏えいしてしまったといった案件が散見されてございまして、それぞれ被害想定額なども書かせていただいてございます。やはり放っておくと大きな影響になったものがありました。
 次のページをお願いできますでしょうか。こうした実証の結果を踏まえまして、こういうサービスを中小企業の方に提供したらいいじゃないかということでまとめたのがお助け隊サービスでございまして、左側にありますように、異常監視を行いながら、緊急時の駆けつけサービスをセットにし、それを簡易サイバー保険で費用負担をなるべく抑えながら、ワンパッケージでサービスを提供していくものを「サイバーセキュリティお助け隊サービス」という形で、真ん中の下にロゴを記載させていただいてございますけども、ロゴを使っていただきながら、全国で今12社の方にサービス提供していただいているという状況です。
 次のページで、もう少し具体的な流れについて御紹介できればと思います。こういう形で、まず中小企業の皆様に、UTMもしくはEDRという形で常時監視できるような体制を取っていただきまして、ここで何か不審な動きがあった場合にアラートが鳴り、それを相談できる窓口を持っていることになります。ここはセキュリティベンダーですとかIT専門コールセンターで専門的な相談を受け、対応のサポートをしていく形になりますが、もし仮に電話、メールなどで対応できない場合には、地域のIT事業者さんなどが実際に駆けつけてサービスを行うといったことをセットにしているサービスになってございます。これは、先ほど申し上げましたように簡易なサイバー保険で費用負担をしていると、こんな構成になっているというものです。
 次、お願いいたします。これは細かい基準の話ですので、後で、また必要があれば御説明できればと思いますけども、費用帯も中小企業で利用しやすくということで、下から4つ目の、ちょっと大きな四角のところに書いてございますが、ネットワーク監視型の場合には月額1万円以下、端末監視型の場合には1台当たり月額2,000円以下という形で、費用もなるべく抑えてサービス提供するということも意識しながら制度設計させていただいたサービスになります。
 次、お願いいたします。実際に今サービスを展開し始めていただいているのが、ここに記載をさせていただいた12社の皆様になっていまして、ちょっと時期的な違いはあるんですけども、最初、上から5社が第1回の審査で、昨年の4月から事業をスタートしていただいてございまして、第2回、昨年の秋からスタートしていただいたのが追加の4社、更に最後、10から12のところは冬の審査で追加をさせていただいて、この3月からスタートしていただいています。こういった形で今12社、これはまた今年度も追加で、当然サービスを提供する方々の募集をしていますので、今後も更にサービスを提供する事業者も増やしていきたいと我々は考えています。
 次、お願いいたします。更にこのお助け隊サービスを普及させるために、補助金を使って普及の加速を図っていこうということで、IT導入補助金という中小企業の皆様がIT化を進めるために、会計ソフトなどソフトウェアの購入ですとかクラウドの利用、こういったものをやるときに補助をするIT導入補助金というものがございます。このIT導入補助金の中で、下に枠が3つ書いてございますが、通常枠とデジタル化基盤導入枠というのは、今もう既に実施されているもので、例えば今日にでも応募していただけるものでございますが、ここの中で、サイバーセキュリティお助け隊サービスを、メインのツール、先ほど申し上げましたソフトウェアの購入費などと合わせて申請していただく場合には、審査のときに加点になりますし、補助の対象にもなるといった形になってございますが、なかなか本体のソフトウェアの導入とお助け隊サービスをセットで提供される事業者の方も少ないということもございまして、今年4月の総合緊急対策の中で、一番右側にありますセキュリティ対策推進枠を新しく設けることを決定いたしまして、お助け隊サービス単品で申請をしていただいたときにも対応できるという制度をつくってございます。ちょっとまだこちらのセキュリティ対策推進枠のほうは、今ちょうど制度設計をしながらシステムの改修をしてございまして、今年の夏ぐらいには実際に中小企業の皆様から申請をしていただいて活用いただけるような状況になるかと思っていますが、こういった準備を進めている状況です。
 最後のページは、この事業の予算の説明紙になっていますので、説明の必要はないかと思います。私からの説明は以上とさせていただきます。
○森田主査 ありがとうございました。それでは、ただいまの御講演につきまして御質問、御発言ございましたらお願いいたします。
 長島構成員、どうぞ。
○長島構成員 医療機関でも利用可能なのか、あるいは実績がありましたら教えてください。
○奥田サイバーセキュリティ課長 特に医療機関が利用できないということはございませんので、今でも利用いただくことはできると思いますが、実績については個別に事業者さんのほうに確認をしてみたいと思います。
○長島構成員 もう1点教えていただきたいんですけれども、医療機関の場合、異常監視サービスを導入するのが結構難しいところがあるかと思うんですが、これは必ずセットで入れないといけないんでしょうか。
○奥田サイバーセキュリティ課長 異常監視をしてもらうことに意味があると思っていまして、異常監視をすることで、攻撃の初期の段階で攻撃に気付くことができ、早期の対処をし、被害の拡大を防止する形になっています。異常監視のシステムを入れていただくことですが、中小企業は、恐らく医療機関とそんなに大きな違いはないというか、中小企業の皆様もやはりこういったセキュリティに関する知見が乏しい中で、お助け隊サービスについて言いますと、5ページ目を表示いただけるとありがたいとですけども、このサービスを提供していただく条件として、中小企業でも導入・運用できる簡単さというものもサービスを提供していただく事業者の皆様には求めていまして、ぜひうまく活用いただければと思います。
○森田主査 5ページを表示していただけますか。ここですね。
○経済産業省(奥田課長) はい。この中でいくつか要件を定めておりまして、上から4つ目のところです。中小企業でも導入・運用できる簡単さということで、初期の導入についても、専門知識のないユーザーでも導入・運用できるような工夫を求めています。
○長島構成員 長島です。
○森田主査 はい、どうぞ。
○長島構成員 医療機関の場合、特に外のネットワークにつながるところが、例えばオンライン請求であったりクラウド型電子カルテであったり、あるいは今回進んでいるオンライン資格確認であったり、それぞれ専用のネットワークなので、そこの中にこの異常監視サービスを導入するというのはかなり難しいのではないかなと思ったんですが、その辺りいかがでしょう。
○奥田サイバーセキュリティ課長 なるほど。そうですね、クラウドの中に入ってしまいますと、むしろクラウド側で対策が必要になってくるかもしれないです。どちらかというとオンプレのシステムを念頭に置きながらですので、その辺りは、また医療機関で対策をしていただくときに少し検討が必要かもしれません。
○田中医療情報技術推進室長 厚生労働省でございます。今、厚生労働省と経済産業省では、私ども厚生労働省で、サイバーセキュリティ対策の厚生労働科学研究が進んでおりまして、その中でサイバーセキュリティお助け隊のサービスを医療機関で活用され、進むような仕組みとしてどんな方法があるか。それから、さっき大山先生からもお話ありましたが、他の分野と医療分野は何が違うのかを研究班の中でも明らかにし、このサービスを医療機関が活用しやすいようにするには、どういう形があるのかを今年度の厚労科研で、連携をして進める予定です。御指摘の点も踏まえて、既存のサービスをいかに医療機関が使いやすい形で使っていただけるかは厚労省の研究班の中で検討しておりますので、引き続きそういった結果も踏まえて、皆様に提供しやすいようなサービスを周知してまいりたいと思っております。
○長島構成員 長島です。ありがとうございます。やはりこれ、最初に山本先生が御提言なさったように、オンライン資格確認等システムを上手に使ってセキュリティに役立てていくというのを中期的には考えたほうが現実的であり、有効かと思っております。
 私からは以上です。
○森田主査 ありがとうございました。
 それでは、手を挙げていらっしゃいます、印南構成員、どうぞ。
○印南構成員 お助け隊って、概念的にすばらしいと思いますし、スタートして短い間に12社という実績があることは分かるのですが、どのぐらいの数がターゲットになっているのでしょうか。中小企業というとものすごい数存在すると思うのですが、目標としているのは何社ぐらいでしょうか。対象がすごく増えたときの対応が可能なのでしょうか。病院でやろうとしても、病院だけでも8,000ぐらいあるわけで、そういう数を想定されているのかどうかです。
○森田主査 お願いします。
○奥田サイバーセキュリティ課長 今12社の方がサービスを提供していただいているわけですが、実際にはまだ、中小企業で活用されているのは数百社ぐらいのオーダーです。我々の目標としましては、先ほど申し上げましたように、IT導入補助金の活用も含めまして、令和4年度中に2万者をとりあえず目指して進めていこうと取組を進めています。ですので、ある程度の件数はこのサービスの中で見ていくことを念頭に置きながら進めています。
○印南構成員 ありがとうございました。
○森田主査 印南さん、よろしいですか。
○印南構成員 はい。ありがとうございました。
○森田主査 分かりました。ほかにいかがでしょうか。特に手は挙がっていないようでございますが。
 それでは、予定された時間より少し早いですけれども、この辺りで終了でよろしいでしょうか。事務局もよろしいでしょうか。
○田中医療情報技術推進室長 はい。
○森田主査 それでは、本日の議題は以上で終了になります。ほか最後に、このワーキンググループに関連して何か御発言ございましたら、この機会ですので御発言いただきたいと思います。
 これも特に手は挙がりませんので、よろしいかと思います。
 それでは、この辺りで終了させていただきまして、事務局に議事の進行をお返ししたいと思います。よろしくお願いいたします。
○田中医療情報技術推進室長 構成員の皆様、本日も活発な御議論いただきましてありがとうございました。また、個人情報保護委員会の小田倉様、経済産業省の奥田様、御多忙の中お話いただき感謝申し上げます。
 本日の議事録につきましては、作成次第、御発言者の皆様方に御確認いただき、その後公開とさせていただきますので、どうぞよろしくお願いいたします。次回のワーキンググループの開催につきましては、日程が決まり次第、改めて事務局から御連絡させていただきます。
 事務局からは以上となります。本日はどうもありがとうございました。
○森田主査 それでは、本日はこれで閉会といたします。活発な御議論ありがとうございました。またよろしくお願いいたします。
 
 

PDFファイルを見るためには、Adobe Readerというソフトが必要です。Adobe Readerは無料で配布されていますので、こちらからダウンロードしてください。

関連リンク

携帯ホームページ