長崎県の病院で、PCがランサムウェアに感染する被害が発生しました。

病院側は、急患や新規患者の受入れ中止と、利用者に大きな影響を与える事態となりました。約1週間後、ウィルスを除去し患者の受入れを再開しましたが、いまだ詳しい原因の特定には至っていないとのことです。

感染源とされるPCはインターネットとの接続は遮断されており、外部からの不正アクセスによる侵入の可能性は低いということです。

ウィルスが入り込んだ原因はどこにあるのでしょうか。
病院側で関知しない接続システムがあったのでしょうか。USBメモリ等のデバイスを通じて感染が起きたのでしょうか。

病院側は現在調査中ということですが、感染経緯や原因について、可能な範囲で外部に公表してもらうことが重要です。

これは、病院の落ち度を明らかにするという目的ではありません。
海外では医療施設におけるランサムウェアの被害は続発していて、今後日本でも海外同様に被害が広がる可能性が多分にあります。
同じような境遇に置かれた法人にも同様の事態が起きる可能性があり、利用者に大きな影響を与えることになりかねません。

インシデントの要因や過程、対応策が含まれた資料が公表されることは、全国にある医療施設において同じ要因での被害を起こさないための、資料として重要な意味を持ちます。
つまり仲間を救う予防策となり、社会的貢献度が非常に高いものといえます。

ですが実際のところ、医療施設に限らずインシデントの報告は、どの法人にとっても公にしたくないというのが本音です。
その心理が働いているのか、ホームページ内の非常に分かりにくい場所にプレスリリースとして公表しているケースも存在します。

また、定型文のように「漏えいのお詫びと、今後セキュリティ体制を強化する」旨を記載し、その後の報告がないケースも多いですが、このような対応では決して、利用者保護や企業価値の回復には繋がりません。

そうした状況のなかで近年、技術的な視点や、利用者目線に立った分かりやすいインシデントレポートを公表する法人も増えてきました。

「産総研の情報システムに対する不正なアクセスに関する報告」（2018.7.20）

産総研ではインシデントに対する組織体制や技術的な視点を織り交ぜながら、組織内にあった脆弱性など、踏み込こんだ形でのレポートを公表しました。

伊織ネットショップへの不正アクセスによるクレジットカード情報流出被害のご報告とお詫び（2018. 10.24）

伊織ネットショップでは専門用語は多用せず、利用者目線に立つ形で経緯と結果の説明を、図解を用いりながら分かりやすく説明しています。

事例の一部ではありますが、このような形でレポートを公表することで、真摯な取組みを行っていることが伝わり、信頼回復への重要な第一歩となります。

逃げの情報開示ではなく、積極的な情報開示を行うことは法人への影響をマイナスではなく、最終的にはプラスに働きます。
経営層の皆様には、この視点を持っていただくことを推奨いたします。