徳島県つるぎ町立半田病院の報告書を読んで

先日公開されて話題になった、徳島県つるぎ町立半田病院のコンピュータウイルス感染事案有識者会議調査報告書についてを読んでみました。

同書は、病院のメッセージと3つのPDFからなり、メインは有識者会議調査報告書で、41ページです。意図したのでしょうが、技術的に深く入ることはなく、読みやすいです。関心ある方は、ぜひ読みましょう。以下の僕の感想は、僕のバイアスが入ってますから。

業者の良識的な活動に課題があっても、そして病院側の予算や資源に制約があったとしても、病院側がシステムおよび業者を管理できていなかったことが最大の問題だと思いました。

20年以上前のシステムがベースとして、ここまで運用してきたようで、そのために運用の制約が多く、結果として今回の攻撃に結びついていると理解しました。適切な業者を選ぶのも発注側のそれなりの知識があってこそ。人も予算も限られた組織でどうしたら良いのか、僕は解を持ちませんが、後回しにできないことは、今回の病院が身を持って示してくれています。

ちょうど先週に発生した尼崎市の事例も、発注側の課題として、同じような感じがします。

報告書自体は、技術的な設定等は比較的明確に書かれているものの、業者との契約等は明確に示すこともなく、どちらかと言えば感覚的な説明が続きます。出せなかったのかもしれませんが、読者側で活かすためには契約もどうだったか、どうあるべきかを示してほしいと思います。

最後に、比較的短期間で復旧させただけでなく、報告書を公開した、つるぎ町立半田病院は素晴らしいと思いました。