X



【医療団体】ITベンダーに「サイバー被害の一部を負担するべき」と提言 情報提供不足なら契約になくても責任求める [香味焙煎★]
■ このスレッドは過去ログ倉庫に格納されています
0001香味焙煎 ★
垢版 |
2023/08/28(月) 15:18:15.12ID:3mGYyvea9
 医療政策の企画立案などを目的とする日本医師会総合政策研究機構(日医総研)が8月24日に公開した文書が、SNS上で物議を醸している。医療機関とシステムベンダーの契約と責任分担に関するもので、「信義誠実の原則」を理由に「ベンダーのリスク説明が不足している場合、契約に記述がなくても、医療機関側から一定の責任を問える可能性がある」との内容が記されている。

 文書のタイトルは「サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために」。医療機関とベンダーには専門知識の格差があることなどから、「システムベンダーは信義誠実の原則に基づく不随義務として、医療機関が安全管理義務を履行するために必要な情報を適切に提供する義務を負う」との見方を示している。

 「信義誠実の原則」とは「互いに信頼を裏切らないよう行動すべき」とする法原則。既知の脆弱性についてベンダーが適切に情報提供しない状態で、その脆弱性を原因とする問題が発生した場合は、保守契約に記載がなくても信義誠実の原則違反を理由に一定の責任を問えるとしている。

 一方で日医総研によれば、現状実際には保守契約の中に情報提供義務が明記されていない場合、ベンダーがその義務を暗黙の内に負っていると認められる可能性は低く、ベンダー側に責任を問えるケースは「極めて少ない」ととらえている。

 日医総研が2022年度に実施したアンケート調査(全数4件)によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったという。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったという。

 この意見に対し、X(Twitter)上では「情報提供義務を契約に入れればいいのでは」「誰も医療業界に手を出さなくなりそう」との声が挙がっている。

(続きは↓でお読みください)
ITmedia
2023年08月28日 13時00分
https://www.itmedia.co.jp/news/articles/2308/28/news095.html
0002ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:19:45.97ID:zpKy/y6l0
受注したのは

電通
パソナ
パーソル(学生援護会)
0003ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:20:07.26ID:c0aq8H2S0
医療ミスは認めないくせに
0005ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:20:37.76ID:e9hdHJR00
サイバーパワーお前だぞ
0007ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:21:33.66ID:zpKy/y6l0

富士通が

NECが
0009ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:22:02.62ID:+B7/Oub50
具体的にどういう事故を想定してるんだ
0010ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:23:40.05ID:cSnOG+W40
NECも最近NEC以外の機材入れるようになったんだな
子会社の子会社くらいだろうけど
0011ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:23:45.45ID:wSe57fMT0
実際には完全に医療機関側の責任なのにベンダーに責任取らせる運用になりそう
メール添付ファイルを開いて身代金型とかそういうやつ
0013ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:24:38.10ID:zpKy/y6l0
>>9
大阪(維新)のアレな府営病院

が、最近大問題起こしたね
0014ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:24:47.91ID:9cuGHtoE0
セキュリティ対策にも金を払えばいいだけじゃん
0015ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:25:04.52ID:WasohIxf0
ケチったつけだろ
0016朝鮮漬 ◆A9o2GkvA8V2W
垢版 |
2023/08/28(月) 15:25:11.84ID:IK9l0Ggh0
断る(^o^)
0017ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:25:23.64ID:dXfltaNY0
「猫がケーブル類を咬みちぎった、サーバーに猫を入れるなと注意しなかったからITベンダーが悪い」とかかな
0018ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:25:34.81ID:ukMc03j70
いや、システムベンダーってセキュリティーは専門外だぞ
脆弱性情報を提供できるなら、その段階で何らかの対策を実施してるわ
IT関係だから、「違う分野でも出来るやろ?」とでも思ってるんか?
0019ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:25:45.11ID:IhXqQaau0
医療系システムは端末含め一般企業より更新遅れてるよね
未だにwin7の病院とかあるんだぜ...
0020ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:25:48.39ID:Q1NJQ5330
まぁ別にいいけど、医者は勝手に無線LAN機器持ち込んだりするの辞めてくれ、看護師はusb持ち込んでぶっ刺すし、その辺から直してくれ。
0021ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:25:58.37ID:IrXwyo+N0
不要なメールを開く
いらん操作をする
エロサイト閲覧する
USBメモリつなぐ

このへんの免責をたんまり書かないと
0023ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:26:14.11ID:zpKy/y6l0
>>18
貴方は、

維新信者?
0026ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:26:50.23ID:9cuGHtoE0
「パソコンの大先生なんだからパソコンが絡む事は全部面倒みろ」
こんな感じかな
0027ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:27:11.86ID:d/XRPk1a0
最近、病院に対するサイバーアタックが頻発してるからな
むしろ病院側に契約を盛り込むよう圧力をかける意味の方が大きかろ
0028ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:27:22.49ID:qtr463Zw0
既知の脆弱性なら利用者の病院側もちゃんと調べろよw
既知なら公開されてる情報なんだろ?

既知の脆弱性で何かあったらお前らが賠償しろって酷いわ、修正するまでじゃあ使わないで下さいって言って欲しいのか?
0030ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:27:43.98ID:EwKYEuUv0
国内ベンダーにはイキり倒そうとしてるけど
アメリカのベンダーには全部情報抜かれても何も文句言わなそうw
0031ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:27:44.91ID:4YLhqcsD0
システム構築に使用したソフトウェアのサプライチェーン含む脆弱性情報と
使用したハードウェア(およびそのファームウェア)の脆弱性情報を常にウォッチして知らせなきゃいけないってこと?
それを知らせたところでパッチ当てだのリプレースだのはしないんだろうけど

> アンケート調査(全数4件)
0032ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:28:05.40ID:jRLAbVTC0
既存システムが古くて重いのでセキュリティを骨抜きにした
事例があるから、それを認めるならまずシステム投資をガッ
チリやらないと信義とか言えないぞ。
セキュリティに見合ったシステム投資をしない医療法人の怠慢を
さらけ出していいのかね?
0033ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:28:15.77ID:90LyLYb00
既知の脆弱性がある製品を納入したなら確かに説明義務があると思うけれど
納入後に発覚する脆弱性は保守契約を締結するか自分で情報取ってくれとしか思わん
0035ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:28:59.26ID:ZqafqhVh0
あんまり関k利ないけど図書館のopacが
統一しようってわけでもないのに
何処に行っても微妙に使いにくいのは謎だわ
わざとやってんだろうか?
0036ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:28:59.57ID:zpKy/y6l0
>>28
大阪(維新)な

例の病院が
0038ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:29:09.39ID:IhXqQaau0
>>29
いやいやセキュリティーリスク高いだろもうパッチも用意してくれないんだからwww
0039ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:29:20.96ID:UGRWKM4i0
イベンダー・ホリフィールド
0040ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:29:26.64ID:NPsnLdrU0
ITベンダーはシステムの開発保守で儲けてるんだからサイバー被害が起きたらITベンダーが費用負担するのは当然
0042ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:29:53.35ID:EwKYEuUv0
マジでリテラシーが無い奴ってこういう発想するよな
何かソフトウェアを洗濯機と同じ感覚で捉えるというか
0043ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:30:02.92ID:TmZK5mzc0
受注するとこ無くなりそう
0045ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:30:39.43ID:zpKy/y6l0
>>40
保守

コンサーバティブ
それでカネ取ってる
0046ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:31:02.50ID:wP4E6uLW0
>>1
情報提供って具体的に何を知りたいの?
怪しいメール開くなよって言ってあげればいいの?
0047ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:31:10.37ID:zpKy/y6l0
>>42
あったま

弱そう
0048ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:31:39.05ID:4YLhqcsD0
- 絶対に外部ネットに繋がないエアギャップ環境で実行してください
- あらかじめ指定した機器以外を絶対に接続しないでください
- システムのハードウェアに許可なく近付けない仕組みをご用意ください
0052ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:32:23.99ID:qKc8acco0
>>1
分厚い運用マニュアルを提示して、これに反する運用を行った場合は、責任を免除する
とか書いとけばいいのかな
0054ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:32:29.65ID:mhrbwiUb0
>>18
分かるよ
作るだけの人にセキュリティまで全部やれんだろって横暴すぎる
ハードな苦手なソフト開発者もいるのにIT関係者ならパソコン直せるよねみたいな
0055ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:32:54.01ID:qUlKhtyZ0
泥棒に入られたら

→住宅メーカーに賠償をもとめます?
0059ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:33:39.83ID:DbNkLomN0
>>1
>医療機関とベンダーには専門知識の格差がある
専門家を雇えよw
月200万を1人雇うだけで十分
0060ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:33:43.74ID:kPRhGuHR0
そんな事は病院のシステム部門が考える事だろ。
あるのか知らんけど。
0061ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:34:24.79ID:1qhN817v0
あー、医者はバカな上に都合よく考えて勝手に行動するからな
さすが拝金キチの歴史的賤業
0062ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:34:41.15ID:wP4E6uLW0
>>29
長年不摂生を続けている生活習慣病予備軍みたいな言い草ですよそれ
って言ってあげたら医者にも通じるかな?
0066ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:35:18.54ID:EFSO7VZp0
トラブルが起きたときに免責してもらえるならどんどん情報提供してやればいい
その情報を理解出来ていたかどうかは客の責任だから知ったこっちゃない
0067ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:35:27.02ID:fic9ID3N0
善管注意義務違反だの信義誠実の原則だの言い出すなら
もう医療向けにSIするベンダーはいなくなるだけですね
0068ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:35:32.02ID:wP4E6uLW0
>>54
保守契約の話だろこれ
0069ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:35:42.56ID:0eb+bsmQ0
IT後進国らしい提案だよね
0071ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:36:01.06ID:d/XRPk1a0
>>52
個人契約じゃあるまいし、法務文書や契約書はお抱えの弁護士や院内担当部門が精査するんじゃね?
0073ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:37:06.32ID:zfdcOctn0
セキュリティ上の保守契約を金払ってやればいいだけw
安全はタダではない
恥を知れよw
0075ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:37:41.77ID:+JPG4mYq0
たまにパソコンやらNW機器買う程度の客に
なんでそこまでしてやる必要があるんだ
医療機器と勘違いしてないかコイツら
0076ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:38:13.38ID:Yl2FeYXk0
こんなん許したら法律どないなりまんねん
0077ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:39:00.84ID:fic9ID3N0
某医療機関のランサムウェア被害は
そもそもベンダーに保守運用契約を結ばす金も払っていない話で
通信機器のハードウェア保守(物理的故障とかの場合の交換とか修理の標準保守)だけだったと聞いてる

そんで通信機器に脆弱性が見つかって、通信機器のメーカーはファームウェア更新を出したが
このパッチ情報をITベンダーが教えなかっただの、当ててくれなかっただのを
保守運用契約がないといっても、標準のハードウェア保守はあるんだから「善管注意義務」の範疇だ!

とかほざいていた話があった






金払えよ
0078ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:39:08.31ID:d/XRPk1a0
>>73
その辺はケチらないのでは
カルテ管理とか、似たようなシステム案件をいっぱい抱えてる業種だし
0079ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:39:22.64ID:iuex3qF70
病院が不用意にネットにつながなければいいだけじゃね

ネットにつなぐところとつながないところ分けて紗
0080ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:39:23.57ID:sPWuOXuo0
は?
保険料を丸々上乗せしなきゃ
0081ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:39:45.99ID:BHc0Bfej0
医療側の人員のやらかしが起因でも責任取らされるのかね
それなら貸与PCは全てサーバーの仮想環境にリモート接続するやつにして、常時監視とかせなあかんやろ
ローカルでは一切ファイルの保存も編集もできないみたいにしてさ
0082ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:39:59.18ID:PZxCMPPZ0
ITベンダー「保守契約を別途用意してございます」
これだけじゃん
開発と保守はコストが違う
0083ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:40:00.90ID:fic9ID3N0
>>68
保守契約なしでも対応しろって要求やで

某医療機関でのランサム被害の報告書もそうだけど
通信機器の標準ハード保守しかないのに
ファームウェア更新も善管注意義務の範疇だ!とか言い出してんだぞ

保守運用費用払わずに
0084ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:40:15.40ID:JjKFnxDj0
>>27
契約に盛り込んだら費用が上がってしまうだろ。
医者の給与以外は極力切りたいのが病院なんだから
0085ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:40:46.11ID:WsZV01wz0
ほならね保守契約料金100倍にさせてもらいますね
0086ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:41:40.44ID:fic9ID3N0
>>68
標準ハード保守ってのはルーター機器本体の故障とかの修理や交換のやつね
システムやネットワークの保守運用は契約されていなかったと聞いてる

で報告書の結論は善管注意義務の範疇だー!
だってさ
0087ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:41:46.54ID:0WqWvY6K0
契約にないことも求めるのが日本らしい
0088ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:42:02.70ID:d/XRPk1a0
>>75
今時スタンドアローンで稼働してる医療機器がどれだけあるか
朝の検温用の体温計ぐらい? いずれデータはDB管理だし
0091ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:42:40.21ID:wP4E6uLW0
>>77のおかしな医療機関の話は知らんが
>>1では明らかに保守契約前提で書いとるで
0092ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:42:41.69ID:WsZV01wz0
>>87
裁判所ですら契約にないことやれとか言い出すからね
0094ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:43:03.17ID:fic9ID3N0
>>87
病院が提供する医療にも契約外の責任を求めないといけないよなwww

健康被害の一部を病院が負担すべき
情報提供不足なら契約になくても責任を求める

こうじゃないとなwwwwwwwwwwwwwwwwww
0095ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:43:32.61ID:zBDi9mBJ0
運用やセキュリティ監視・メンテナンスとかは、システム構築とは別契約になるのはいいとして、
そのための情報としてSBOMや使用ハード・ファームの脆弱性情報を通知してくれってことなんだろうけど…
実際その情報うけて監視・運用してくのはすごいお金かかりそうだ
0096ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:43:59.78ID:QKgWOzu60
リスク説明したアホみたいに分厚い書類を用意してほしいのか
0097ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:44:04.19ID:iDPxm95M0
そんなのしたらどこのベンダーも引き受けなくなるだけじゃね?
自前でシステム部門持つしか無くなるぞ
0099ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:44:55.59ID:WsZV01wz0
>>91
>保守契約に記載がなくても信義誠実の原則違反を理由に一定の責任を問えるとしている。
だから保守契約はないよハードの保守結んだらソフトの保守もするべきだ
並の滅茶苦茶な言い分
保守してほしいならそういう保守契約をちゃんと結べばいい
0100ウィズコロナの名無しさん
垢版 |
2023/08/28(月) 15:45:00.12ID:SOCaVS8t0
実際、厚労省とかが出してるガイドラインみても、このへんのリスクを検閲するような記載あるんだが、100%防げるセキュリティってないんだよね

紙ですら泥棒入れば無理じゃんってなるし
だから電カル普及率5割なんだけどね
■ このスレッドは過去ログ倉庫に格納されています

ニューススポーツなんでも実況