欧米諸国で医療機関のサイバー攻撃被害が多発した数年前、「日本で似たようなことが起きるとは考えにくい」という声もあった事態が今まさに起きている。
中核となる業務やシステムに直接関係するサイバー攻撃の被害
人命を扱っていることから公共性が高く、業務の基本が診療という対面形式であるため、事故の影響がそのまま表面化するのが医療業界におけるセキュリティインシデントの特徴だ。診療履歴が閲覧できなくなることで、紙ベースでの対応を余儀なくされたり、緊急でない手術を延期せざる得なくなるなど、被害に遭った医療機関の現場の医師や看護師の方々の苦労、患者の方々の懸念は計り知れない。
それだけではない。通常は電子カルテに入力された患者の診察記録から、医事会計システムが診療報酬の計算を行い、最終的に患者が窓口や精算機で自己負担分を支払う流れになっているが、電子カルテシステムや医事会計システムが使えなくなれば、システム上での点数計算ができなくなり、診療はできてもその場で医療費を患者から受け取ることが困難になる。つまり、一時的とはいえ収入が途絶えてしまう。
サイバー攻撃によってもたらされる被害や影響には、このように業種の中核となる業務やシステムに直接関係するものも多い。例えば、製造業では工場が操業停止になり生産活動が止まる。卸小売業では受発注業務や配送業務が困難になったり店舗を休業せざるを得なくなる。IT業ではソフトウェア開発環境が使えなくなるというかたちで影響が出る。それ以外にも、従来デジタル化が日本より進んでいる海外諸国では、サイバー攻撃の影響で電力や燃料の供給が止まる、鉄道やバス、船舶の運行に影響が出るなど、さまざまな業種で中核事業への被害や影響がすでに起きている。
業種に関係なく共通して起こりうる被害もある。全社員がメールのやり取りができなくなるといったものから、事業自体、サービス自体が継続不能に陥る、財務データが使用不能になり決算報告が長期的に不可能になる等の被害はすでに国内でも起きている。また、ECサイトを販路に持つ企業でクレジットカード情報漏洩などの事故が起きれば、ビジネス視点では最悪の場合には販路の1つが断たれることになる。売上の半分以上をネット販売が占めるような企業では、そのダメージは計り知れない。
サイバーリスクの影響は自組織の外部にもおよぶ
業種特有の影響かどうかに関係なく、近年のサイバーリスクは、サイバー攻撃か内部犯行かを問わず「ビジネスインパクト」が非常に高いことがわかるだろう。抽象的にいえば「事業継続が脅かされる」ということになるが、医療が止まれば患者、製造や物流、小売が止まれば店舗や顧客、決算報告ができなければ株主や株式市場というかたちで、組織に関係するステークホルダーやサプライチェーンの活動に影響が出るのが近年のセキュリティインシデントの特徴だ。サイバーリスクの影響は、自組織内部で収まることはない。