Healthcare

病院

2015.07.21 投稿者: ブログチーム

18年度から医療に番号制政府決定 犯罪者の新たな標的にならないか?

18年度から医療に番号制政府決定 犯罪者の新たな標的にならないか?

 「政府は29日、カルテや診療報酬明細(レセプト)などの医療情報に番号制度を導入する方針を正式に決めた。税と社会保障の共通番号(マイナンバー)のシステムと医療関連のシステムを連動させる仕組みを、2018年度から段階導入。医者らが個人の診療結果や処方薬の情報を共有できるようにして、二重の投薬や検査を避ける。戸籍や旅券、自動車登録などにも共通番号を幅広く活用して国民の利便性を高める方針を確認した。
 マイナンバー制度が始まると個人番号カードが配布される。17年7月以降、番号カードは健康保険証としても利用できる。ICチップが搭載されており、医療機関で認証すると、医者はマイナンバーと連動した患者の医療番号を把握できる。医者はマイナンバーを扱わない。医者が扱う情報は医療分野のみにし、情報漏洩リスクを最小限にしたい日本医師会に配慮した仕組みだ。
 番号制度を通じて集まった病気や治療に関する医療情報は匿名にして、いわゆるビッグデータとしても活用する。製薬企業や大学に開放し、新薬開発などに生かす。政府は幅広い治療結果のデータを分析して、効果的な治療に役立てる。無駄な検査や投薬が見つけやすくなるため医療費削減につながると期待される。
 国や自治体との手続きや民間取引で、電子的処理を原則に位置づけるIT利活用促進法を制定する。マイナンバーで本人確認がしやすくなるのを踏まえ、書面や対面を不要とする。国の認定を受けた民間事業者に、個人の医療情報を委託管理し、個人の生活習慣の改善などに役立てる制度も盛り込む。」

日本経済新聞 <医療に番号制、18年度から 政府決定 マイナンバー連動> 2015/5/30

 本記事中には、「マイナンバー制度と連動する、新たな(別の)医療番号制度」を導入することで、情報漏洩リスクを最小限にする狙いがある、とあります。しかし、私たちはこの事で2つの危惧を感じています。一つは、マイナンバー制度の目的が薄れてしまうこと、もう一つが逆に情報漏洩リスクが増すことです。
 マイナンバー制度の本来の目的は、無駄な歳出をカットする事が目的だったのではないでしょうか。このままでは、マイナンバーと医療番号で管理システムが二重に必要となり、さらに双方の番号の紐付けに新たなシステムも必要となります。これでは目的を達成できませんから、始まる前から失敗です。

img7 海外の国民ID制度の導入成功事例として、ソビエト連邦から独立したエストニアが挙げられます。一つの国民IDで、様々な行政手続きが実現できるようになっています。まず、国民一人ひとりの収入(納税額)が管理されているため、エストニアには公認会計士が存在しません。その他、健康保健証・運転免許証・パスポート・投票権など、全ての管理が一つの国民IDに集約されています。エストニアは人口が少ないので、国民になるべく生産性のある仕事に就いてもらうために、eガバメント化を徹底する戦略だそうです。この戦略が功を奏してか、SkypeをはじめIT関連のベンチャー企業がグローバルに活躍しています。日本のTV番組でもその様子が紹介されていました。小国ながら、IT大国なのです。素晴らしい!
 さて、もう一つの危惧が情報漏洩リスクの増大です。マイナンバーだけでも政府のIT指導力に疑念があるのに、さらに医療番号となると、心配ごとが倍増です。
 マイナンバーの運用は、国が絶対に強固だとしている監視システム(LGWAN)上で行われます。しかし、その監視ネットワークに入っていない、自治体の出張所などの端末も残っているはずです。もしもその端末にバックドア(遠隔操作の進入口)を付けられたら、外部から攻撃者がその端末を遠隔操作し、あたかもその端末のユーザーのフリをしてLGWANに入り込むかもしれません。果たしてLGWANは、その通信が攻撃者によるものだと見抜くことができるのでしょうか。私たちの想像ですが、既に沢山の端末にバックドアを付けられてしまっていて、マイナンバーの運用が始まった途端にデータ流出事件が多発するかもしれません。医療番号制度のセキュリティー設計も、システム監視の委託先が異なるだけで、同じようなレベルになると想像しています。
 これからは、バックドアを付けられてしまうことを前提に、いかに防御するかです。効果的な対策としては、各パソコンやサーバーに対し、どこからどこへの通信を許可するのか、ネットワーク上で通信フローを決めておくことです。バックドアから侵入した攻撃者がデータを持ち出そうとすると、通信フロー自体が発生できないので、「おかしいな、バックドアを付けたはずなのに…」と不思議がることでしょう。アライドテレシスが提供する“Secure Enterprise SDN(SES)”ならそのような制御が可能です。今後SESが普及し、マイナンバーや医療番号制度のようなサービスが安全に運用されるように願っています。おっとその前に、マイナンバーと医療番号は統合してください!

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top