商傳媒|吳承岳/台北報導
日本政府正積極推動醫療數位轉型(DX),以實現高品質且高效能的醫療服務,這股轉型浪潮同時也讓強化網路安全成為刻不容緩的關鍵議題。政府已體認到推動醫療DX所需的龐大成本,因此透過新設立的「電子的診療資訊合作系統整備加算」及相關補貼,提供必要的財政支援。
為應對日益嚴峻的網路攻擊威脅,日本於2023財年啟動「醫療機構網路安全確保計畫」,旨在盤查醫院網路安全現況,並導入離線備份等勒索軟體防範措施。此計畫將獲得進一步強化,內閣府已於2025財年補充預算中,為該計畫額外撥款高達15億日圓,並正持續為2026財年申請預算支援。
根據若村氏的分析,日本厚生勞動省的策略是「選擇與集中」,優先針對已導入電子病歷並持有網路配置圖的醫院提供協助,顯示政府鼓勵具備一定自主資安努力的機構。其中,經內閣府認定為「重要基礎設施」核心,且是地區醫療體系「最後防線」的全國約88家「特定機能醫院」,更被列為優先支援對象。若村氏指出,即使一般醫院遭受攻擊,患者或許能轉院,但若肩負重症照護的大學醫院等特定機能醫院停擺,將導致無處可送的醫療崩壞,因此政府選擇從這些「絕對不能倒」的場所著手建立堅實防線。
計畫內容顯示,現行醫療機構常因電子病歷、大型設備(如電腦斷層掃描、磁振造影)及護理呼叫系統供應商各自獨立的外部維護線路,形成多個「流氓VPN」或「後門」,成為駭客入侵的潛在入口,且醫院本身往往缺乏對其複雜網路結構的全面理解。為解決此問題,政府將「外部接點適正化」納入補助條件,要求醫院將分散的外部入口整合至單一或少數的「整合閘道器」,並配置強大的防火牆及入侵防禦系統(IPS),同時導入雙因子驗證與零信任網路等更嚴格的身份驗證機制。
儘管這種整合模式可能遭遇既有商業習慣的阻力,特別是醫療設備供應商可能因專利或全球政策考量而不願配合。但若村氏認為,這實際上對供應商也有益,在醫院提供統一且安全的基礎設施後,供應商能將責任歸屬明確化,更專注於其應用程式與醫療設備的維護。目前,MedCSC正密切關注Japan Network Security Association(JNSA)旗下的醫療IT工作組,該工作組正著手定義醫院網路功能與分區的最佳實踐,預計最快於2026財年推出「醫療網路標準模型」,這將有助於醫院與網路基礎設施供應商在招標(RFP)文件中要求遵循此標準,推動零信任安全概念在傳統醫療環境中的具體實踐。
