医療分野におけるサイバー事故。
当メルマガでも、3年以上前にも扱っていました。
そんな中、先日公開された、日本医師会総合政策研究機構の資料が物議を醸しています。
サイバー事故に関し システムベンダーが負う責任
なかなかの破壊力のある内容です。
以下、概略部分を引用
<概略>
数あるサイバー攻撃の中でも、特定の攻撃手法が既に広く世間に周知され、かつ実際に被害も頻発しているようなケースでは、当攻撃手法に関し、システムベンダーは医療機関等に対し、委託契約又は信義誠実の原則に基づく付随義務として、医療機関等が患者に対する安全管理義務を履行するために必要な情報を適時適切に提供する義務を負うと考えられる。
従って、医療情報システムに設置されたFortinet製VPN装置(CVE-2018-13379)の脆弱性を突いたサイバー事故が医療機関に発生した場合、たとえ医療機関とシステムベンダーで締結したシステム保守契約において、当リスクにかかるシステムベンダーの情報提供義務が明記されていなかったとしても、当該装置の脆弱性に関する情報提供がなされていなければ、医療機関からシステムベンダーに対し、「信義誠実の原則」違反を理由に一定の責任を問える可能性がある。
引用、ここまで
ん?
ようするに、システム保守契約で情報提供義務が入っていなくても、(世の中に広く言われている)サイバー攻撃の被害を受けたら、システムベンダーにも一定の責任を問えるでしょう、という内容です。
なんだかすごい言い分だと感じますが、契約に基づいた活動をするのがビジネスの基本です。
情報提供義務があるのかどうはか、その契約次第だと感じます。
そもそもセキュリティに対して契約がどのようになっているのか、ですよね。
自身でできないのであれば、明確に依頼すべきですし、契約を更新すればよいだけです。
そうした対応をしましたか?というのも一つポイントかなと思います。
医療を受けて、一般的に言われるリスクを説明されずにその事象が起きたら、医者に一定の責任を問えるでしょう、と聞こえますね。
上記の資料内にありますが、結局のところ以下を言いたいだけのような気もしました・・・
以下、引用
行政による資金面の支援が必要
引用、ここまで
必要な対応を行い、必要な対価を払う
純粋に、それだけですね。
それには、お互い信義誠実に付き合い、納得のいく内容に落とし込む必要がありますね。
そうした努力なしに、お互い好きに言っても仕方ないと思います。
「契約」は、お互いの合意ですからね。
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
