保守契約になくてもベンダーは医療機関にセキュリティ情報を提供すべき? 140
ストーリー by nagazou
責任取って 部門より
責任取って 部門より
日本医師会総合政策研究機構(日医総研)が8月24日に公開した「サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために[PDF]」という文書が、SNS上で物議を醸しているようだ。その文章の内容は、医療機関とITベンダーの契約において、サイバー被害の責任をどのように分担するかについての内容。文書は、ベンダーからのリスク説明が不十分だった場合でも、「信義誠実の原則」に基づいて、既知の脆弱性についてベンダーが適切な情報提供を怠った場合、契約に明記されていなくても一定の責任を問うことができるように求めている(日医総研発表文書、上原 哲太郎氏のXポスト、ITmedia、The Key Questions)。
日医総研によると、保守契約の中に情報提供義務が明記されていないケースが多いという。こうした情報提供義務が明記されていない場合、ベンダー側に責任を問えるケースは「極めて少ない」。日医総研のアンケート調査(全数4件)によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったそうだ。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったとしている。
この文章に対してSNS上では文章で出す前に、情報提供義務を契約に明記すべきだという意見が多く見られる。ただ過去記事でも取り上げているように医療業界では、ランサムウェアを利用したサイバー攻撃による被害が増加しており、具体的な事例として、徳島県の拠点病院がサイバー攻撃を受けたり、大阪の医療センターが被害を把握できなかったりした例も出ている。とはいえ、医療機関側ではセキュリティ対策に予算が限られており、政府やITベンダーによる支援も必要ではないかといった意見も見られる模様。
日医総研によると、保守契約の中に情報提供義務が明記されていないケースが多いという。こうした情報提供義務が明記されていない場合、ベンダー側に責任を問えるケースは「極めて少ない」。日医総研のアンケート調査(全数4件)によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったそうだ。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったとしている。
この文章に対してSNS上では文章で出す前に、情報提供義務を契約に明記すべきだという意見が多く見られる。ただ過去記事でも取り上げているように医療業界では、ランサムウェアを利用したサイバー攻撃による被害が増加しており、具体的な事例として、徳島県の拠点病院がサイバー攻撃を受けたり、大阪の医療センターが被害を把握できなかったりした例も出ている。とはいえ、医療機関側ではセキュリティ対策に予算が限られており、政府やITベンダーによる支援も必要ではないかといった意見も見られる模様。
保守契約結びなよ (スコア:4, すばらしい洞察)
素人が「保守契約なんて金の無駄遣いだ」と甘く見るからこんなことになる。
そもそも、例に出てる半田病院って酷い状況だぜ。
・VPN脆弱性を放置、保守契約なし(ここが侵入経路)
・鯖のWidows Update停止
・ADパスワードは最短5文字、ロックアウトなしなので何度でも試せる
・PCの一部はWindows 7(2021年当時)
・IE / ActiveXが有効(電子カルテで必要だったっぽい)
こんなん数え役満だろ。VPNだけパッチ当たってても、他がズタボロじゃん。
Re:保守契約結びなよ (スコア:5, 参考になる)
ちゃんと文書を読めばわかるけど(そして他にもかなり誤解したコメントあるけど)保守契約は前提やで。
保守契約の中に「脆弱性情報の提供」が明記されてなくても、やばい脆弱性は保守契約を結んでいる顧客にはちゃんとつたえるのが義理と責任ってもんでしょ、って書いてある。
そんなに違和感ないけどなあ。
Re: (スコア:0)
病院って儲かってるイメージだけど、保守のために払う金はないのだろうか。
単に契約結ぶのを面倒臭がってるだけに思えるのだが。
Re:保守契約結びなよ (スコア:2, 参考になる)
医者は儲かってるけど、病院は赤字が多い。
病院の63.6%が赤字経営。赤字に陥る原因や黒字化に必要なことを解説
https://souken.shikigaku.jp/14098/ [shikigaku.jp]
Re: (スコア:0)
尤もな内容でも喧嘩腰のモヒカンの話は通じにくいからねえ
わかってるじゃん (スコア:3, すばらしい洞察)
> 医療機関側ではセキュリティ対策に予算が限られており
わかっているなら予算を見直せよ。
斜陽の業界ならいざ知らず、医療業界は恥ってものがないのか?
# とは言え、診察が人間を必要としなくなる時代は、すぐそこまで来ている。
Re: (スコア:0, 興味深い)
># とは言え、診察が人間を必要としなくなる時代は、すぐそこまで来ている。
来てないぞ。
見えてるのは蜃気楼だ
Re:わかってるじゃん (スコア:1)
// かと。
Re: (スコア:0)
診察って、神の手や神の目が必要な技能なんかではなく、パターンマッチングでしょ
Re: (スコア:0)
一方でセキュリティ以外の医療情報はITベンダーがぼったくってきた歴史があり、現在進行形でぼったくってるからね。。
なので医療機関側は「今度はセキュリティでぼったくるのか?もう騙されんぞ」となりかけてる。
自分は情報系で医療機関にいるが、どっちもどっちという印象。
Re: (スコア:0)
ぼったくられてると思うなら他のベンダーに依頼すればいいだけでは?
セカンド・オピニオンって概念は医療系から出てきたもんだと思ったが、はて
他所でも高いならそれはぼったくられてるんじゃなくて、それが標準価格なだけだろ
Re: (スコア:0)
大病院向けの電カルを提供できるベンダーは数社しかなくて競争原理が働いていないのと、
一度導入したら別のベンダーに変える方が高いのでもうメーカーの言いなりでね。。
Re:わかってるじゃん (スコア:2)
競争原理より病院側にまともな情シスがなくて言いなりなことが問題なんだと思う。
まあぼったくったとしても医師の給料と比べれば可愛いものなので、ITベンダ的には金出せよってところでいいと思うけどね。
Re:わかってるじゃん (スコア:1)
う・・・北の大地にあるひと悶着起こした病院が
見たような聞いたような・・・
itinoe
Re:わかってるじゃん (スコア:2)
旭川医大とNTT東日本の件ですね…。
https://twitter.com/SOFTIC_JP/status/1039767907398381568 [twitter.com]
二審でNTT側が勝利、旭川医大が最高裁に上告するも受理されずに確定した模様。
Re: (スコア:0)
限られてるっても出し惜しみしてるんじゃなくてカツカツってことじゃないの。
赤字経営なんて話も聞くし、命を扱う現場だけにセキュリティ対策の優先順位も低くなってしまう。
Re: (スコア:0)
真面目に診療すると赤字なんで、どうやってインチキな仕組み組み上げるかが重要になっちゃう今の仕組みがね。
今のうちに見直さないと、医療にフリーアクセス出来る日本の奇跡的な体制を維持出来なくなっちゃう。
Re: (スコア:0, 興味深い)
医師と医療用機材が金食い虫で、同様に高いモラルを求められる他の医療従事者にさえ十分に金が回ってるとは言い難いから仕方ない
金持ちから多く取る逆行もそれはそれで起こりえないだろうしねえ
そもそも仕事を受けるべきではない (スコア:1)
製造物責任(PL)法的な考え方で言えば、セキュリティーサポートをせずコストダウンすることを認めてはいけない。
仮に、顧客がそれを望んだとしても、そのような製品提供形態はそもそも認められない、となるのが筋だと思うな。
もし、ソフトウェアやITシステムに法的な製造物責任を付けるとしたら、そういう風に法制化されるんじゃない?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
ベンダーがクライアントに脆弱性を報告したとして (スコア:0)
その後はベンダーが脆弱性修正するんじゃないの?
え?ベンダーは報告するだけってこと?
Re: (スコア:0)
報告したらカネがないので無償で対応しろと言われるよ
君は喜んでタダ働きしてくれる?
Re: (スコア:0)
そもそも脆弱性報告自体も、常に構築したシステムの脆弱性について情報収集し続け報告書を作成する稼働が発生するので
ただでというのはブラックすぎなんだよなぁ。
#そここそ情報収取のためのAI(もどき)の時代か?
Re: (スコア:0)
金がないならあきらめて既存パッケージを使えばいいよね
Re: (スコア:0)
パッケージも保守費用払わないと更新してくれるわけがない。
Re: (スコア:0)
ただでではなく、保守契約の範囲に含めろが趣旨ではないかと思うんだけど、そんなに変?
調査が必要であれば、費用積んでおけばいいし、
そこそこのパッケージであれば、元のパッケージベンダーからも情報来るし。
# 自分とこのパッケージで脆弱性情報を調査できてないって落ちじゃないよね……。
Re: (スコア:0)
そもそも保守契約結んでないからこんなことになっている。
Re: (スコア:0)
半田病院は、冗談抜きで本当にそう言ったっぽいもんね……
理由が「予算がないから」って、ベンダー側もタダ働きする予算はないと思うのだけど……
Re: (スコア:0)
そこは断ればいいだけでは…。
見積もりしたけど発注されなかったのであれば問題なし。
というか、それこそ保守契約の中身次第では?
すべき (スコア:0, フレームのもと)
脆弱性修正など実際の工数が掛かる作業までの義務はないとしても、ベンダー側が脆弱性報告をしたにも関わらず保守契約を結んでいないからとしてそれを通知すらしないとなれば、それはもう怠慢を通り越して社会に対するテロ行為。
少なくともベンダー側が発表した脆弱性情報は顧客に通知しろ。
結局迷惑を掛かるのはエンドユーザーであり社会。下手すると人が死ぬんだぞ。
もちろん正規の保守契約をする余裕があればそれに越したことはないが、工数に見合わない値段で吹っ掛ける場合もあれば、単純に余裕がないこともあるね。
誰かが作業しなきゃいけないには違わないから、誰かがコストを支払う必要があるという点は変わらない。
だとしても脆弱性の通知くらいは最低限の義務。
Re: (スコア:0)
>保守契約を結んでいないから
自分の所のシステムを使っているかどうかわからないんじゃない。
ユーザーは別な所のシステムに変えてもユーザーはベンダーに告知しないでしょ。
Re: (スコア:0)
そんなもん「確認しましたが現在その製品は使っていませんので今後の通知は不要です」と返信するか、ワンクリックで通知を解除するリンクがあれば済む話でしょ。
何でそんな意味不明な言い訳をするのか分からんわ。
Re: (スコア:0)
病院側が、メールを無視する選択もできるけど。
むしろ、もう関係ないから無視しとけとなる確率のほうが高いんじゃないか。それでもベンダ側は永遠に通知しろと?
>> ワンクリックで通知を解除するリンクがあれば済む話
うわぁ。
この時期にこんなこと書いている時点で、私は馬鹿ですと言ってるようなもん。
Re: (スコア:0)
たぶん2〜3日でウザいからヤメロって言われて終わると思うけど、そうなりゃ後の責任は客ってことでオッケーかな。
Re: (スコア:0)
それを毎月か毎週にして重要度でフィルター掛けると十二分だと思う。
Re: (スコア:0)
金の切れ目が縁の切れ目って言いますし、金払わない奴に情報提供する奇特な企業さんは居ないんじゃあないですかね?
あなたは奇特なタイプのようですから、そういうお仕事を請け負ってはいかがですか?
きっと喜ばれますよ。
これがすすめば (スコア:0)
「安全」の名の下に誰もセキュリティ契約しなくても良いようになるの?
どうせなら (スコア:0)
マイナンバーカードシステムに取り込んで税金でAGPLで提供しようぜ。
好意的に考えると (スコア:0)
1.お医者さんは無保険や金がない人にもただで治療してあげている
2.なので逆に考えると、お医者さんに対して保守をタダで提供すべき
というロジックなのだろうか?
1が本当かどうかは知らないが、支払いバックレで結果的にそうなるのは間違いなくある。
なので逆に保守費バックレ?
Re: (スコア:0)
引退した爺はどうせお世話になってんだから、ボランティアで保守やらせてはどうか。
Re:好意的に考えると (スコア:1)
ボランティア警察の方から来ました
ボランティアって志願兵って意味ですよ?無報酬とか通常より低い報酬で志願する兵がいますか?
それは(無料)奉仕といいます
だったら (スコア:0)
初期導入のコストをガンガン上げるだけでは?って思う。
旨味がなければ、別に医療業界を切り捨てるだけでしょうし。
何れにせよ、病院側は不幸にしかならない文書ですわ。
IT系企業が母体の病院とそうじゃない病院で格差が生まれそうですね。
Re: (スコア:0)
会社的には知らんが、雇われのみとしては医療業界には関わりたくないという気がする。
関わったことないけど。
そもそも、院内システムとインターネットをつなぐのが悪い (スコア:0)
予約とカルテごっちゃになってるのか?
そこを人力でリレーすればいいんじゃないか?
雇用生まれていいじゃないか。
か。
医者らしく全体を活かすために泣く泣く一部を切ってくれ (スコア:0, 興味深い)
金を出したくない、攻撃に会いたくない、責任を持ちたくないのどれかを切(諦め)ればいいじゃない
保守契約を結ぶ(金を諦める)
何もしない(攻撃に合うのを諦める)
自分たちでパッチを当てる(責任逃れを諦める)
Re: (スコア:0)
いや、自分で書いといて何だがちと暴論だな
誰かマイナスモデして沈めてくれ
Re: (スコア:0)
医者だけじゃなくて日本国民全体の話だな
リソースが足りなくなる一方なのにこれまで通りの社会を維持しろといううのは無理な話なので何かを諦めないといけない
Re: (スコア:0)
老人の命を諦めるか。
豊かな未来を諦めるか。
今の日本は先ずこの二択。
Re: (スコア:0)
Microsoft Windows XP で機能的に十分で、セキュリティさえ確保できればそれ以上のものはいらないということでしょう。
ちなみにお医者さんは残業代はもらわずサービス残業が常態化していると聞く。FreeDOS でなんとかしてあげたい。
彼我を入れ替えてみる (スコア:0)
患者「お金はないけど定期検診してください」
信義誠実の原則 (スコア:0)
これって他業種と比べてIT業界はかなり欠落してる気はするんだけどね。
担当レベルでは気付いた欠陥も契約に含まれていないって理由で見なかったことにするし。
契約書は重要だけど、ちょっと「遵法スト」に近いレベルで行き過ぎだとは思う。