(出典 image.itmedia.co.jp)
1 香味焙煎 ★ :2023/08/28(月) 15:18:15.12 ID:3mGYyvea9
文書のタイトルは「サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために」。医療機関とベンダーには専門知識の格差があることなどから、「システムベンダーは信義誠実の原則に基づく不随義務として、医療機関が安全管理義務を履行するために必要な情報を適切に提供する義務を負う」との見方を示している。
「信義誠実の原則」とは「互いに信頼を裏切らないよう行動すべき」とする法原則。既知の脆弱性についてベンダーが適切に情報提供しない状態で、その脆弱性を原因とする問題が発生した場合は、保守契約に記載がなくても信義誠実の原則違反を理由に一定の責任を問えるとしている。
一方で日医総研によれば、現状実際には保守契約の中に情報提供義務が明記されていない場合、ベンダーがその義務を暗黙の内に負っていると認められる可能性は低く、ベンダー側に責任を問えるケースは「極めて少ない」ととらえている。
日医総研が2022年度に実施したアンケート調査(全数4件)によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったという。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったという。
この意見に対し、X(Twitter)上では「情報提供義務を契約に入れればいいのでは」「誰も医療業界に手を出さなくなりそう」との声が挙がっている。
(続きは↓でお読みください)
ITmedia
2023年08月28日 13時00分
https://www.itmedia.co.jp/news/articles/2308/28/news095.html
飲まないなら外資系にもさせるべき。
情報提供って具体的に何を知りたいの?
怪しいメール開くなよって言ってあげればいいの?
分厚い運用マニュアルを提示して、これに反する運用を行った場合は、責任を免除する
とか書いとけばいいのかな
ベンダーにとってはありがたいな
個人契約じゃあるまいし、法務文書や契約書はお抱えの弁護士や院内担当部門が精査するんじゃね?
契約書のチェックなんかは、それこそAIの得意分野っぽいw
>医療機関とベンダーには専門知識の格差がある
専門家を雇えよw
月200万を1人雇うだけで十分
電通
パソナ
パーソル(学生援護会)
学生援護会というよりはインテリジェンスとテンプスタッフ
ワロタ
大阪(維新)のアレな府営病院
が、最近大問題起こしたね
脆弱性情報を提供できるなら、その段階で何らかの対策を実施してるわ
IT関係だから、「違う分野でも出来るやろ?」とでも思ってるんか?
貴方は、
維新信者?
いえ、セキュリティー屋です
分かるよ
作るだけの人にセキュリティまで全部やれんだろって横暴すぎる
ハードな苦手なソフト開発者もいるのにIT関係者ならパソコン直せるよねみたいな
保守契約の話だろこれ
保守契約なしでも対応しろって要求やで
某医療機関でのランサム被害の報告書もそうだけど
通信機器の標準ハード保守しかないのに
ファームウェア更新も善管注意義務の範疇だ!とか言い出してんだぞ
保守運用費用払わずに
標準ハード保守ってのはルーター機器本体の故障とかの修理や交換のやつね
システムやネットワークの保守運用は契約されていなかったと聞いてる
で報告書の結論は善管注意義務の範疇だー!
だってさ
未だにwin7の病院とかあるんだぜ...
正常に動いてるなら
無理にアップデートしないだろ
いやいやセキュリティーリスク高いだろもうパッチも用意してくれないんだからwww
長年不摂生を続けている生活習慣病予備軍みたいな言い草ですよそれ
って言ってあげたら医者にも通じるかな?
こんな感じかな
むしろ病院側に契約を盛り込むよう圧力をかける意味の方が大きかろ
契約に盛り込んだら費用が上がってしまうだろ。
医者の給与以外は極力切りたいのが病院なんだから
既知なら公開されてる情報なんだろ?
既知の脆弱性で何かあったらお前らが賠償しろって酷いわ、修正するまでじゃあ使わないで下さいって言って欲しいのか?
大阪(維新)な
例の病院が
↓
保守
コンサーバティブ
それでカネ取ってる
何かソフトウェアを洗濯機と同じ感覚で捉えるというか
あったま
弱そう
リリースノートも読まず不具合情報も調べずポンポンアプデするような奴な
- あらかじめ指定した機器以外を絶対に接続しないでください
- システムのハードウェアに許可なく近付けない仕組みをご用意ください
すべてのパスワードは30日以内に更新して下さい
パスワードは何処にも記録しないで下さい
安全はタダではない
恥を知れよw
その辺はケチらないのでは
カルテ管理とか、似たようなシステム案件をいっぱい抱えてる業種だし
なんでそこまでしてやる必要があるんだ
医療機器と勘違いしてないかコイツら
今時スタンドアローンで稼働してる医療機器がどれだけあるか
朝の検温用の体温計ぐらい? いずれデータはDB管理だし
そもそもベンダーに保守運用契約を結ばす金も払っていない話で
通信機器のハードウェア保守(物理的故障とかの場合の交換とか修理の標準保守)だけだったと聞いてる
そんで通信機器に脆弱性が見つかって、通信機器のメーカーはファームウェア更新を出したが
このパッチ情報をITベンダーが教えなかっただの、当ててくれなかっただのを
保守運用契約がないといっても、標準のハードウェア保守はあるんだから「善管注意義務」の範疇だ!
とかほざいていた話があった
金払えよ
金もらったらやれるの?
>>1では明らかに保守契約前提で書いとるで
>保守契約に記載がなくても信義誠実の原則違反を理由に一定の責任を問えるとしている。
だから保守契約はないよハードの保守結んだらソフトの保守もするべきだ
並の滅茶苦茶な言い分
保守してほしいならそういう保守契約をちゃんと結べばいい
裁判所ですら契約にないことやれとか言い出すからね
病院が提供する医療にも契約外の責任を求めないといけないよなwww
健康被害の一部を病院が負担すべき
情報提供不足なら契約になくても責任を求める
こうじゃないとなwwwwwwwwwwwwwwwwww
盗まれたら鍵作った会社に文句言えばいい
システム屋が飯の食い上げw
