Photo by gettyimages 

今年12月から新規の保険証は発行されなくなり、マイナンバーに紐づいた保険証、いわゆる「マイナ保険証」へと移行する。それは必然的に病院や医師にデジタル化をうながすことになるが、高齢や資金難で対応できないケースもある。地方都市の医院や診療所においてはそれが顕著だ。前編記事『マイナ保険証で地方都市の医療は崩壊する…現役医師が実名で怒りの告発』より続いて、デジタル化に伴うサイバーセキュリティの問題についても考えてみよう。 

【写真】新NISAは「落とし穴」だらけ…荻原博子が「おやめなさい」と断言するワケ 

Photo by gettyimages 

国は「医療DX」の推進のため、すべて医療機関や薬局に、原則として昨年4月からオンライン化するよう求め、これを義務化してきた。これに従わないと、地方厚生局の集団指導の対象になり、最終的には保険医療機関の指定取り消しや保険医登録の取り消しもチラつかせ脅しをかけている。 

こうしたネット環境の整備だけでも負担が大きい上に、将来的なランニングコストやセキュリティ管理の費用なども導入した医院がすべて負担しなくてはならない。 

仮にセキュリティが完璧でないと、どこからウイルス攻撃を受けるかわからないし、一旦セキュリティに問題が発生したら責任を問われることになりかねない。 

実は今、世界中の医療機関が、ランサムウェア(ネットによる身代金要求攻撃)の標的となっている。 

6月には、ランサムウェア攻撃を受けたイギリスの国民保健サービス(NHS)が、患者データが乗っ取られただけでなく、血液検査に必要なシステムが利用できなくなり、契約している病院や一般開業医の予約や手術ができなくなった。 

NHSは税金で運営されているの医療機関で、重篤な救急患者に対する救急医療の提供は、NHSでのみ行われている。 

アメリカでも2月に、世界最大のヘルスケア企業であるユナイテッド・ヘルスの子会社・Optumが運営する、医療費の決済と保険金請求の管理を行うネットワークサービスが攻撃を受け、全米7万ヵ所の薬局の90％以上が電子請求の処理方法の変更を余儀なくされた。 

同じく5月にも米国の大手医療法人アセンションがサイバー攻撃を受けてシステム障害が発生している。アセンションは米19州で140の病院と40の老人介護施設を運営している非営利法人で、電子カルテや電話システムだけでなく検査や処置、医薬品の注文などに使っているシステムにも障害が起きている。これ以上の被害の拡大を防ぐためにコンピュータをダウンさせて紙の書類をバックアップ手段として使って診療を継続しているが、復旧までにはまだ時間がかかりそうだ。 

Photo by gettyimages 

日本でも、5月に地方独立行政法人岡山県精神科医療センターが攻撃され、患者の氏名、住所、生年月日、病名などの個人情報や、治療方針に関する資料などが、外部に流出した可能性がある最大4万人分外部に流出した可能性があるという。 

3月にも、鹿児島の国分生協病院が攻撃を受け、「画像管理サーバー」に障害が発生している。ここ数年の間に、東京、奈良、福島、徳島、大阪と、システムの脆弱な部分から侵入したウィルスが、次々と病院の機能を麻痺させている。 

2022年に起きた大阪急性期・総合医療センターへのランサムウェア侵入は、無防備だった給食センターからのウィルス侵入が確認されている。 

ランサムウェア攻撃の被害額は2023年には過去最高の1600億円となったが、中でもハッカーたちの矛先は、金になる医療機関に向けられていると指摘する専門家もいる。つまり、オンライン化、DX化は医療機関にとっても極めて大きなリスクになりかねない。 

アメリカでは2月に起きたユナイテッドヘルス・グループ子会社のチェンジ・ヘルスケアがランサムウェアの攻撃を受けたケースでは患者の個人情報を守るため、犯人に2200万ドル(約35億円)の身代金を支払ったと言われている。 

6月に起きたイギリスの病院へのランサムウェア攻撃でも、身代金として要求された5000万ドル(約70億円)の支払いを引き延ばしたために交渉決裂。患者データが個人情報などを売り買いする闇サイトの「ダークウェブ」に流れたのではないかと言われている。 

世界デジタル競争ランキング1位のアメリカでさえ防衛しきれない医療システムへの攻撃を、32位というデジタル後進国の日本の「医療DX」が狙われたら、果たしてデジタル・ガラパゴスの日本が防ぎ切れるのだろうか。大きな疑問だ。 

写真:現代ビジネス 

岡山県精神科医療センターが攻撃された事例では、身代金についての確認はできていないが、流出したデータは、「ダークウェブ」に売られ、個人に対して「病気を知られたくなれれば金を出せ」という脅しなど二次被害を引き起こす可能性があると指摘されている。 

日本で起きているサイバー攻撃の多くは、病院のセキュリティーシステムの甘さに原因がある。だが、病院の本来業務は患者を治療することなので、よほど経営に余裕があるところを除きセキュリティの専門家を雇うのは難しいのが現実だ。 

それなのに、なぜここまで性急な対応を求めるのかについて国からは合理的な説明がないのが現状だ。 

こうした国のやり口に対して、すでに1415人もの医師たちが、国を相手に提訴を起こしている。医師免許という国からの認可をもらって活動している人たち。その医師たちが、国を相手に法廷闘争するというのは、なみなみならぬ事情があると言える。 

なぜ1415人もの医師が国を相手取って裁判しているのか。それは、このままでは、日本の医療が大変なことになるという危機感があるからだ。 

政府が多くの犠牲をものともせず推進している「医療DX」は、一般の人にとって役に立つものなのだろうか。 

日経BPのレポート『デジタルヘルス未来戦略 有望市場・調査分析編』(2023年12月)で「医療DX」という言葉から想像するものを生活者約5000人にアンケートしているが、約4割が「わからない」と答えている。つまり、多くの人にとって医療のDX化しなければ困るものでもなければ、求めているものではないということだろう。この数字は、そのままマイナ保険証の利用率にも現れている。 

Photo by gettyimages 

政府は、最大2万円のポイントを付与したり、カード普及率が低い自治体を交付金で締め上げたり、医療機関に金をばら撒いたりその額を倍に増額したり、「マイナ保険証」の利用を患者に勧めない医療機関は密告させてまで、なりふり構わずありとあらゆる手を使って利用率を上げようとしてきた。 

だが、大金を使ってPRしているにも関わらず、その利用率は6月の最新の数字でも1割に満たない9.9％に止まっている。9割以上の人が、病院や薬局の窓口で「健康保険証」を使っているわけだ。 

それは、なぜか。便利さを感じないことと、政府への不信感だろう。特に後者が大きいと私は考えている。 

私も含めて、「マイナ保険証」を使った先に、自分の病歴という大切な個人情報がどうなるのかわからないという「嫌な予感」を感じている人は、少なからずいるのではないだろうか。 

政府は、マイナンバーカードと保険証を基盤とした「医療DX」に、さらにパスポート、運転免許証、各種証明書、母子手帳など、生活のあらゆる場面で必要になるものを紐付け、一本化していく方針と言う。 

言うまでもなく、多くの情報が紐付けされればされるほど、システムへの接続箇所も膨大に増え、脆弱な箇所からのウイルス侵入が容易になりかねない。 

医療情報だけでなく、あらゆる個人情報が一枚のカードに紐づけられるということは、ハッカーにとってはそのぶん価値が上がるお宝になると言い換えてもいい。ウイルスの開発にはコストもかかるが、コストをかけてもやる価値が高まるということだ。 

Photo by gettyimages 

しかも、これだけあらゆるものをカードに詰め込んでも、それが使われているかは別問題。会計検査院が2022年度に調査した結果によると、マイナンバーシステムには1258もの機能があるが、そのうち4割が利用ゼロで、しかも多くが利用率1割未満だった。ところが、14～22年度だけで全国的なネットワークの整備・運用、自治体システムの改修で2100億円も使っている。さまざまなものを一枚のカードに入れ込めば入れ込むほど、メンテナンスなどにかかる無駄金も増えていくということだ。 

今の政府のやり方を見ると、第二次世界大戦の末期、すでに小回りが効く戦闘機の時代になっているにも関わらず巨大戦艦にこだわり続けて敗戦に至った、愚かで無責任な軍部を連想する。 

そして、その暴挙の末の敗戦という痛手を一心に浴びたのは、日本国民だ。 

マイナンバーカードで個人情報が流出したら、誰が責任を取るのか。マイナポータルの「免責事項」を見ると、「マイナポータルの利用にあたり、利用者本人または第三者が被った損害について、デジタル庁の故意または重過失によるものである場合を除き、デジタル庁は責任を負わないものとします」と書かれている。 

実は、当初は免責事項に「デジタル庁の故意または重過失によるものである場合を除き」はなく、「デジタル庁は責任を負わない」となっていた。 

これに対して、「無責任だ」という批判が続出。しかたなく、昨年の1月にこっそりと「デジタル庁の故意または重過失によるものである場合を除き」という文言を入れたのだ。 

ただ、ある弁護士に聞くと、「故意または重過失」を認定するのは政府なので、この文言が入ったからといって、政府が責任を取るわけではないと説明された。 

Photo by gettyimages 

今年7月、消費者団体が、サイトを運営するデジタル庁の損害賠償責任に関する免責条件が広いことと、利用者が全国にいるのに提訴先を東京地裁に指定していることの2点で、利用者が不利益を被ると指摘した。消費者契約法では、事業者側の過失が重大でない場合なら損害賠償責任を全て免除するような内容は無効だからだ。しかし、この指摘に対し、政府は現在、対処方法を検討中というだけで具体的な回答を出していない。 

こうした経緯を見ると、巨大な「医療DX」をつくることには熱心だが、「医療DX」に個人情報を提供する個人に対しては、何か損害があっても政府は責任を負わないというのが基本方針ではないだろうか。 

医療機関がどんどん潰れ、「マイナ保険証」を渡されても便利さを感じる人が少なく、個人情報が漏れても政府は責任を負わない。こうした政府の姿勢に不信感さえある中で、それでも4ヵ月後は「保険証」を廃止するという。 

なぜなら、いま9割の人が使っている保険証を廃止しなければならないかといえば、「マイナ保険証」を使う人が増えないからだ。まさに本末転倒。「マイナ保険証」を使う人が増えないと、個人情報で成り立つ「医療DX」は完成しない。 

河野太郎指揮官のもと、着々とつくられている巨大戦艦「医療DX」が、日本国民を悲惨な状況に巻き込まないことを心から祈るばかりだ。 

荻原 博子(経済ジャーナリスト)