パスワードを忘れた? アカウント作成
16773681 story
医療

保守契約になくてもベンダーは医療機関にセキュリティ情報を提供すべき? 140

ストーリー by nagazou
責任取って 部門より
日本医師会総合政策研究機構(日医総研)が8月24日に公開した「サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために[PDF]」という文書が、SNS上で物議を醸しているようだ。その文章の内容は、医療機関とITベンダーの契約において、サイバー被害の責任をどのように分担するかについての内容。文書は、ベンダーからのリスク説明が不十分だった場合でも、「信義誠実の原則」に基づいて、既知の脆弱性についてベンダーが適切な情報提供を怠った場合、契約に明記されていなくても一定の責任を問うことができるように求めている(日医総研発表文書上原 哲太郎氏のXポストITmediaThe Key Questions)。

日医総研によると、保守契約の中に情報提供義務が明記されていないケースが多いという。こうした情報提供義務が明記されていない場合、ベンダー側に責任を問えるケースは「極めて少ない」。日医総研のアンケート調査(全数4件)によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったそうだ。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったとしている。

この文章に対してSNS上では文章で出す前に、情報提供義務を契約に明記すべきだという意見が多く見られる。ただ過去記事でも取り上げているように医療業界では、ランサムウェアを利用したサイバー攻撃による被害が増加しており、具体的な事例として、徳島県の拠点病院がサイバー攻撃を受けたり、大阪の医療センターが被害を把握できなかったりした例も出ている。とはいえ、医療機関側ではセキュリティ対策に予算が限られており、政府やITベンダーによる支援も必要ではないかといった意見も見られる模様。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 保守契約結びなよ (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2023年08月31日 19時10分 (#4520551)

    素人が「保守契約なんて金の無駄遣いだ」と甘く見るからこんなことになる。
    そもそも、例に出てる半田病院って酷い状況だぜ。

    ・VPN脆弱性を放置、保守契約なし(ここが侵入経路)
    ・鯖のWidows Update停止
    ・ADパスワードは最短5文字、ロックアウトなしなので何度でも試せる
    ・PCの一部はWindows 7(2021年当時)
    ・IE / ActiveXが有効(電子カルテで必要だったっぽい)

    こんなん数え役満だろ。VPNだけパッチ当たってても、他がズタボロじゃん。

    • by nim (10479) on 2023年08月31日 19時59分 (#4520585)

      ちゃんと文書を読めばわかるけど(そして他にもかなり誤解したコメントあるけど)保守契約は前提やで。

      保守契約の中に「脆弱性情報の提供」が明記されてなくても、やばい脆弱性は保守契約を結んでいる顧客にはちゃんとつたえるのが義理と責任ってもんでしょ、って書いてある。

      そんなに違和感ないけどなあ。

      親コメント
    • by Anonymous Coward

      病院って儲かってるイメージだけど、保守のために払う金はないのだろうか。
      単に契約結ぶのを面倒臭がってるだけに思えるのだが。

    • by Anonymous Coward

      尤もな内容でも喧嘩腰のモヒカンの話は通じにくいからねえ

  • わかってるじゃん (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2023年08月31日 18時08分 (#4520500)

    > 医療機関側ではセキュリティ対策に予算が限られており

    わかっているなら予算を見直せよ。
    斜陽の業界ならいざ知らず、医療業界は恥ってものがないのか?

    # とは言え、診察が人間を必要としなくなる時代は、すぐそこまで来ている。

    • Re: (スコア:0, 興味深い)

      by Anonymous Coward

      ># とは言え、診察が人間を必要としなくなる時代は、すぐそこまで来ている。

      来てないぞ。
      見えてるのは蜃気楼だ

    • by Anonymous Coward

      一方でセキュリティ以外の医療情報はITベンダーがぼったくってきた歴史があり、現在進行形でぼったくってるからね。。
      なので医療機関側は「今度はセキュリティでぼったくるのか?もう騙されんぞ」となりかけてる。
      自分は情報系で医療機関にいるが、どっちもどっちという印象。

      • by Anonymous Coward

        ぼったくられてると思うなら他のベンダーに依頼すればいいだけでは?
        セカンド・オピニオンって概念は医療系から出てきたもんだと思ったが、はて
        他所でも高いならそれはぼったくられてるんじゃなくて、それが標準価格なだけだろ

        • by Anonymous Coward

          大病院向けの電カルを提供できるベンダーは数社しかなくて競争原理が働いていないのと、
          一度導入したら別のベンダーに変える方が高いのでもうメーカーの言いなりでね。。

          • by fukapon (4131) on 2023年08月31日 21時02分 (#4520632)

            競争原理より病院側にまともな情シスがなくて言いなりなことが問題なんだと思う。
            まあぼったくったとしても医師の給料と比べれば可愛いものなので、ITベンダ的には金出せよってところでいいと思うけどね。

            親コメント
    • by Anonymous Coward

      限られてるっても出し惜しみしてるんじゃなくてカツカツってことじゃないの。
      赤字経営なんて話も聞くし、命を扱う現場だけにセキュリティ対策の優先順位も低くなってしまう。

      • by Anonymous Coward

        真面目に診療すると赤字なんで、どうやってインチキな仕組み組み上げるかが重要になっちゃう今の仕組みがね。
        今のうちに見直さないと、医療にフリーアクセス出来る日本の奇跡的な体制を維持出来なくなっちゃう。

    • Re: (スコア:0, 興味深い)

      by Anonymous Coward

      医師と医療用機材が金食い虫で、同様に高いモラルを求められる他の医療従事者にさえ十分に金が回ってるとは言い難いから仕方ない
      金持ちから多く取る逆行もそれはそれで起こりえないだろうしねえ

  • 製造物責任(PL)法的な考え方で言えば、セキュリティーサポートをせずコストダウンすることを認めてはいけない。
    仮に、顧客がそれを望んだとしても、そのような製品提供形態はそもそも認められない、となるのが筋だと思うな。

    もし、ソフトウェアやITシステムに法的な製造物責任を付けるとしたら、そういう風に法制化されるんじゃない?

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
  • by Anonymous Coward on 2023年08月31日 18時14分 (#4520505)

    その後はベンダーが脆弱性修正するんじゃないの?
    え?ベンダーは報告するだけってこと?

    • by Anonymous Coward

      報告したらカネがないので無償で対応しろと言われるよ
      君は喜んでタダ働きしてくれる?

      • by Anonymous Coward

        そもそも脆弱性報告自体も、常に構築したシステムの脆弱性について情報収集し続け報告書を作成する稼働が発生するので
        ただでというのはブラックすぎなんだよなぁ。
        #そここそ情報収取のためのAI(もどき)の時代か?

        • by Anonymous Coward

          金がないならあきらめて既存パッケージを使えばいいよね

          • by Anonymous Coward

            パッケージも保守費用払わないと更新してくれるわけがない。

        • by Anonymous Coward

          ただでではなく、保守契約の範囲に含めろが趣旨ではないかと思うんだけど、そんなに変?
          調査が必要であれば、費用積んでおけばいいし、
          そこそこのパッケージであれば、元のパッケージベンダーからも情報来るし。

          # 自分とこのパッケージで脆弱性情報を調査できてないって落ちじゃないよね……。

          • by Anonymous Coward

            そもそも保守契約結んでないからこんなことになっている。

      • by Anonymous Coward

        半田病院は、冗談抜きで本当にそう言ったっぽいもんね……
        理由が「予算がないから」って、ベンダー側もタダ働きする予算はないと思うのだけど……

      • by Anonymous Coward

        そこは断ればいいだけでは…。
        見積もりしたけど発注されなかったのであれば問題なし。

        というか、それこそ保守契約の中身次第では?

  • すべき (スコア:0, フレームのもと)

    by Anonymous Coward on 2023年08月31日 18時37分 (#4520524)

    脆弱性修正など実際の工数が掛かる作業までの義務はないとしても、ベンダー側が脆弱性報告をしたにも関わらず保守契約を結んでいないからとしてそれを通知すらしないとなれば、それはもう怠慢を通り越して社会に対するテロ行為。
    少なくともベンダー側が発表した脆弱性情報は顧客に通知しろ。
    結局迷惑を掛かるのはエンドユーザーであり社会。下手すると人が死ぬんだぞ。

    もちろん正規の保守契約をする余裕があればそれに越したことはないが、工数に見合わない値段で吹っ掛ける場合もあれば、単純に余裕がないこともあるね。
    誰かが作業しなきゃいけないには違わないから、誰かがコストを支払う必要があるという点は変わらない。
    だとしても脆弱性の通知くらいは最低限の義務。

    • by Anonymous Coward

      >保守契約を結んでいないから
      自分の所のシステムを使っているかどうかわからないんじゃない。
      ユーザーは別な所のシステムに変えてもユーザーはベンダーに告知しないでしょ。

      • by Anonymous Coward

        そんなもん「確認しましたが現在その製品は使っていませんので今後の通知は不要です」と返信するか、ワンクリックで通知を解除するリンクがあれば済む話でしょ。
        何でそんな意味不明な言い訳をするのか分からんわ。

        • by Anonymous Coward

          病院側が、メールを無視する選択もできるけど。
          むしろ、もう関係ないから無視しとけとなる確率のほうが高いんじゃないか。それでもベンダ側は永遠に通知しろと?

          >> ワンクリックで通知を解除するリンクがあれば済む話
          うわぁ。
          この時期にこんなこと書いている時点で、私は馬鹿ですと言ってるようなもん。

    • by Anonymous Coward
      CVEレポートを納品した製品名でgrepして毎日メールで送りつけるくらい自動化してちゃっちゃとやればいいだけだね
      たぶん2〜3日でウザいからヤメロって言われて終わると思うけど、そうなりゃ後の責任は客ってことでオッケーかな。
      • by Anonymous Coward

        それを毎月か毎週にして重要度でフィルター掛けると十二分だと思う。

    • by Anonymous Coward

      金の切れ目が縁の切れ目って言いますし、金払わない奴に情報提供する奇特な企業さんは居ないんじゃあないですかね?

      あなたは奇特なタイプのようですから、そういうお仕事を請け負ってはいかがですか?
      きっと喜ばれますよ。

  • by Anonymous Coward on 2023年08月31日 18時37分 (#4520525)

    「安全」の名の下に誰もセキュリティ契約しなくても良いようになるの?

  • by Anonymous Coward on 2023年08月31日 18時43分 (#4520529)

    マイナンバーカードシステムに取り込んで税金でAGPLで提供しようぜ。

  • by Anonymous Coward on 2023年08月31日 19時16分 (#4520553)

    1.お医者さんは無保険や金がない人にもただで治療してあげている
    2.なので逆に考えると、お医者さんに対して保守をタダで提供すべき
     
    というロジックなのだろうか? 
    1が本当かどうかは知らないが、支払いバックレで結果的にそうなるのは間違いなくある。
    なので逆に保守費バックレ?

    • by Anonymous Coward

      引退した爺はどうせお世話になってんだから、ボランティアで保守やらせてはどうか。

  • by Anonymous Coward on 2023年08月31日 19時37分 (#4520566)

    初期導入のコストをガンガン上げるだけでは?って思う。
    旨味がなければ、別に医療業界を切り捨てるだけでしょうし。
    何れにせよ、病院側は不幸にしかならない文書ですわ。

    IT系企業が母体の病院とそうじゃない病院で格差が生まれそうですね。

    • by Anonymous Coward

      会社的には知らんが、雇われのみとしては医療業界には関わりたくないという気がする。
      関わったことないけど。

  • 予約とカルテごっちゃになってるのか?
    そこを人力でリレーすればいいんじゃないか?
    雇用生まれていいじゃないか。
    か。

  • by Anonymous Coward on 2023年08月31日 20時13分 (#4520593)

    金を出したくない、攻撃に会いたくない、責任を持ちたくないのどれかを切(諦め)ればいいじゃない

    保守契約を結ぶ(金を諦める)
    何もしない(攻撃に合うのを諦める)
    自分たちでパッチを当てる(責任逃れを諦める)

    • by Anonymous Coward

      いや、自分で書いといて何だがちと暴論だな
      誰かマイナスモデして沈めてくれ

      • by Anonymous Coward

        医者だけじゃなくて日本国民全体の話だな
        リソースが足りなくなる一方なのにこれまで通りの社会を維持しろといううのは無理な話なので何かを諦めないといけない

        • by Anonymous Coward

          老人の命を諦めるか。
          豊かな未来を諦めるか。
          今の日本は先ずこの二択。

    • by Anonymous Coward

      Microsoft Windows XP で機能的に十分で、セキュリティさえ確保できればそれ以上のものはいらないということでしょう。
      ちなみにお医者さんは残業代はもらわずサービス残業が常態化していると聞く。FreeDOS でなんとかしてあげたい。

  • by Anonymous Coward on 2023年08月31日 20時55分 (#4520623)

    患者「お金はないけど定期検診してください」

  • by Anonymous Coward on 2023年08月31日 20時57分 (#4520627)

    これって他業種と比べてIT業界はかなり欠落してる気はするんだけどね。
    担当レベルでは気付いた欠陥も契約に含まれていないって理由で見なかったことにするし。

    契約書は重要だけど、ちょっと「遵法スト」に近いレベルで行き過ぎだとは思う。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...