6/7に発表された「徳島県つるぎ町立半田病院　コンピュータウイルス感染事案　有識者会議調査報告書」を巡って、IT業界人がざわつきました。この事案は令和3年10月に発生したランサムウェアによる攻撃よる被害のため、翌年1月4日まで診療がストップした問題です。有識者・調査委員の顔ぶれからは、Software ISACの方々が中心になって報告書が取りまとめられたようです。
https://www.handa-hospital.jp/topics/2022/0616/index.html

関係しているのは、プライムコントラクターでインフラ導入を行ったA社。インシデント発生後にデジタルフォレンジックを担当したB社、電子カルテアプリケーションのベンダーであるC社でした。

報告書では「セキュリティー面での設定が甘い。」、「120床を有する地域の中核病院の規模だが一人情シスによる運用という実態を知りながら協力的でなかった」ことで、A社、C社を強く非難するトーンでありました。
しかしながら「運用保守支援サポート契約がない。(P25)」といった記載も見られることから、IT業界の視点からは「自業自得だろう」という意見が噴出しています。
また、デジタルフォレンジックの段階でログ情報を保存せずにシステム／端末の初期化、ファームウェアのアップデートが行われたため、攻撃の詳細が追跡できないという点も問題にされました。

システム自体は約20年前に導入され、SilverlightやActiveXを前提としてシステム設計となっており、もはやレガシー資産と言ってもいいでしょう。状況証拠的には公開されていたVPNのセキュリティー対応がなされなかったことから、そこから侵入されたという推測されています。この脆弱性に関してはA、C社は知りつつも、病院に対応の提言をしていないことから、「善管注意義務は十分にあったと考えるのが妥当である」という指摘がなされています。

さてこの事案、いったい誰がどこまでの責任を負い、発注者／運用主体者である病院はどうすべきだったのでしょうか。

報告書には各業者の保守契約の有無や責任範囲の建てつけなどが明示的に記載されていないため、正直、判断に難しいところも多いです。
そもそもIT知識に乏しい組織においては「VPN機器の脆弱性が見つかったから、ファームの更新をせよ」といった類の情報に気づくことさえ難しいでしょう。ただA・C社がそれを契約無しで提言する「責任」があるとするのも無理があります。
この現場に限って言えば、役割分担を含めた運用設計が出来ていないことが一番の問題点と思います。
一般論としては、営業的な関係性なども考慮したケースバイケースでの対応となるのでしょう。