「セキュリティ対策のチェックリスト」をみて思うこと

最近見た「医療機関におけるサイバーセキュリティ対策チェックリスト」なるものについて思うことがある。

内容は教科書どおりのことが書いてあるのでこれで良いと思うが、足りないと思うものがあると思う。
それは、医療機関のスタッフのセキュリティ教育の項目がない。
システムをいくら強化しても、それを利用するスタッフに指導および教育を行わな限りほとんど意味をなさないと思う。
家で例えるなら、ハウスメーカがいくら空き巣対策をしていも、住人がカギを掛けることを知らないのと同じことだと思う。

また、チェックリストは業者確認用というシートもあるが、この場合の業者はだれ？と思ってしまう。
医療機器関係、例えば電子カルテメーカ、レセコンメーカ、レントゲン撮影機材メーカなど、ネットワークとセキュリティを理解しているメーカと合ったことがない。この手のほとんどのメーカの担当者は自分たちハード、ソフトは導入できるが、ネットワークやセキュリティに関する知識はない。
よって、チェックリストを記入できない。（まあ、聞かれたら当たり障りのない回答はするだろうが、意味は全くない）
このチェックリストに答えられる業者とお付き合いある医療機関がどれだけあるか、心配が残る。