企業の危機管理にも役立つ「情報セキュリティ調査報告書」
3月28日、大阪急性期・総合医療センターは情報セキュリティインシデント調査委員会がまとめた報告書を公表しました(こちらから全文を閲覧できます)。ご承知の方も多いと思いますが、同病院では、令和4年10月31日早朝に発生したサイバー攻撃により電子カルテを含めた総合情報システムが利用できなくなり、救急診療や外来診療、予定手術などの診療機能に大きな支障が生じました(通常診療は今年1月11日に再開)。このような事態を招いた原因究明と再発防止について検討するため、同病院は外部有識者による情報セキュリティインシデント調査委員会を設置しておりました。
日頃、企業不祥事発生時の調査委員会に関与する者として、実に参考になる報告書であり、内容的にも秀逸ではないかと。ひさしぶりに格式の高い調査報告書を読みました。「ITガバナンス」という言葉がよく使われますが、情報セキュリティの問題に経営陣がどのように向き合うべきか、参考となる記述が同報告書には詰まっています。
マスコミでは同病院がIDやパスワードを使いまわしていたことや関係事業者が保有していたVPN機器の安全性管理がずさんであったこと等をさかんに報じていましたが、この調査報告書はドラスティックな認定事実よりも、根本的な原因に連なる事実に注目しています。
「セキュリティにどれだけでもお金を使うことができれば予防できるかもしれないが、医療機関には限りがある」「病院だけでなく、ベンダーも含めた関係者が相互に協力しなければ防止できない」「情報セキュリティへの対応は、最終目的である医療の崩壊を防ぐ(市民の生命、身体の安全を守る)ことへの管理のひとつ」
という視点から事実認定、原因究明、そして再発防止への提言を行っており、とても説得力があります。「セキュリティ対策と医療継続体制(BCP)は車の両輪」というのはまさにその通りかと。委員の顔ぶれをみると、情報セキュリティの世界のトップクラスの有識者と医療関係者で構成されており、この委員構成がこのようなレベルの高い報告書作成の要因であることがわかります。
企業不祥事発覚時に設置される第三者委員会も、最終目的は企業の信用を回復して事業経営を維持することにあると思います。経営陣の責任追及に関連する事実にスコープすることもありますが、やはり組織の構造的な欠陥に光をあてて、その原因を究明することが大切です。再発防止についても、現有する限りある資源を活用して「何ができるか」を考えることが求められます。目の前の不正行為の解明にどうしても注力しがちですが、今回の不正行為を永続的な企業経営にどのように活かすか・・・という視点は(ステークホルダーのためにも)欠かせないですね。
| 固定リンク
コメント