病院でも「IT部門」と「セキュリティ部門」を分けるべきなのか？：他業界から転身した医療機関CISOに聞く

「医療業界のセキュリティ対策は遅れている」と、他の業界から医療業界に転職したセキュリティ専門家達は口をそろえる。セキュリティを向上させるための急務とは何か。

[Makenzie Holland，TechTarget]

　スティーブン・ダンクル氏は、製造業のセキュリティ担当を辞めた後に医療機関Geisinger Healthの最高情報セキュリティ責任者（CISO）になったとき、まるで10年前に戻ったように感じた。国家安全保障局（NSA）で働いていたフィル・アレキサンダー氏は、2013年に医療機関のセキュリティ担当になったとき、FAX（ファクシミリ）とブザーがまだ使用されているのを見て驚いたという。

　医療組織間の接続が密になるにつれて、脅威が増大し続けている。「医療機関のセキュリティ対策は他の業界に比べて遅れている」と、ダンケル氏とアレキサンダー氏は口をそろえる。

併せて読みたいお薦め記事

医療情報を守る

• 病院がセキュリティ対策に手を抜いてはいけない納得の理由
• 医療IoT「IoMT」のセキュリティリスク　患者の命をサイバー攻撃から守るには？

医療現場のセキュリティは今

• マサチューセッツ総合病院（MGH）の情報漏えい事故から得られる教訓、足りない透明性
• 医療機関に求められるサイバーセキュリティ5訓
• AIから法令順守まで　医療機関のセキュリティ製品選び「4つのポイント」

　アレキサンダー氏は2018年から、医療機関North Mississippi Health ServicesのCISOを務めている。同氏は「NSAに在籍していたころ、高等教育機関と医療機関は最も安全ではない場所だと見なされていた」と語る。2013年に医療機関UMC Health Systemで情報セキュリティのディレクターに就任した際に同氏は、医療業界が最も安全ではない場所だと見なされていた理由を直接知ることになった。

　「FAXがまだ使用されているとは知らなかった。博物館にしかないと思っていた」とアレキサンダー氏は語る。「私は博物館のホールを歩いているようにすら感じたが、そこは病院だった。ポケットベルを利用している医師がいたことは、ちょっとした衝撃だった」（同氏）

　米国ボストンでHIMSS（病院情報管理システム学会）が2019年12月に開催したセキュリティイベント「Healthcare Security Forum」で、アレキサンダー氏とダンクル氏は、IT部門とセキュリティ部門の分離など、医療業界における過去の成功体験について話した。

IT部門とセキュリティ部門は分けるべきか、まとめるべきか