医療機関を狙ったランサムウェアの現状
なぜ医療機関が狙われるのか
医療機関がランサムウェア攻撃の標的となりやすい理由は、その業務特性にあります。
- 人命に関わるため身代金を払いやすい
- 電子カルテが使えなければ患者の診療に支障をきたし、最悪の場合は人命に関わります。この切迫した状況が、攻撃者にとって身代金を支払わせやすい条件となっています。
- 24時間365日稼働でセキュリティ対策が後回しになりやすい
- 救急医療や入院患者のケアなど、医療機関は休むことなく稼働しています。システムを停止してアップデートや点検を行う時間を確保しにくく、セキュリティパッチの適用が遅れがちです。
- 古いシステム・機器の残存
- 医療機器との連携の都合上、Windows 7やXPなどサポート終了したOSが稼働していることも珍しくありません。こうした古いシステムは既知の脆弱性を抱えたまま運用されています。
- セキュリティ投資の遅れ
- 医療機器や施設の更新が優先され、情報セキュリティへの投資が後回しになる傾向があります。専任のセキュリティ担当者がいない医療機関も多く存在します。
医療機関の被害統計
警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2024年上半期のランサムウェア被害114件の業種別内訳では、医療・福祉分野が7件(約6%)を占めています。
| 年度 | 医療機関の被害件数 | 主な被害事例 |
|---|---|---|
| 2021年 | 4件 | 徳島県つるぎ町立半田病院 |
| 2022年 | 8件 | 大阪急性期・総合医療センター |
| 2023年 | 10件 | 複数の中小病院 |
| 2024年上半期 | 7件 | 岡山県精神科医療センター |
IPAの「情報セキュリティ10大脅威2025」においても、ランサムウェアは5年連続で組織向け脅威の1位となっており、医療機関を含むあらゆる業種で警戒が必要とされています。
医療機関特有の被害影響
医療機関がランサムウェア被害を受けた場合、一般企業とは異なる深刻な影響が発生します。
- 電子カルテ停止による診療停止
- 患者の診療記録、処方履歴、検査結果などにアクセスできなくなり、適切な医療提供が困難になります。紙カルテへの切り替えには多大な時間と労力を要します。
- 救急受入停止
- 電子カルテが使用できない状態では、救急患者の受け入れを停止せざるを得ません。他院への搬送が必要となり、地域医療に大きな影響を与えます。
- 手術延期
- 患者情報が参照できないため、予定していた手術を延期する事態に陥ります。がん患者など、時間的猶予のない患者への影響は深刻です。
- 患者情報漏洩(要配慮個人情報)
- 医療情報は個人情報保護法上の「要配慮個人情報」に該当します。病歴、診療情報、処方履歴などが漏洩した場合、患者のプライバシーに甚大な影響を及ぼします。漏洩した情報がダークウェブで売買されるリスクもあります。
電子カルテシステムの保護対策
電子カルテの脆弱性
電子カルテシステムには、以下のような脆弱性が存在することがあります。
| 脆弱性の種類 | 具体的な問題 | リスク |
|---|---|---|
| ネットワーク分離の不備 | 電子カルテと事務系ネットワークが同一 | 事務PCからの感染拡大 |
| パッチ適用の遅れ | 医療機器連携の制約でOS更新ができない | 既知脆弱性を悪用される |
| リモートアクセス管理 | VPN機器の脆弱性、認証の甘さ | 不正アクセスの侵入口 |
| 古いOS使用 | Windows 7/XPの継続利用 | セキュリティパッチなし |
特にVPN機器の脆弱性は、近年の医療機関における主要な侵入経路となっています。警察庁の統計では、ランサムウェアの感染経路の63%がVPN機器経由とされています。
保護対策
電子カルテシステムを守るための具体的な対策を実施してください。
- ネットワークセグメンテーション
- 電子カルテ系、事務系、インターネット接続系のネットワークを分離します。これにより、1つのセグメントで感染が発生しても、他のセグメントへの拡大を防止できます。
- 電子カルテ端末の保護(EDR)
- 従来のアンチウイルスソフトに加え、EDR(Endpoint Detection and Response)の導入を検討してください。不審な挙動をリアルタイムで検知し、ランサムウェアの実行を阻止できる可能性が高まります。
- バックアップの分離保管
- バックアップデータはネットワークから切り離した場所に保管します。オフラインストレージやイミュータブル(改ざん不可能な)バックアップの導入が推奨されます。詳細はバックアップ戦略をご参照ください。
- アクセス制御の強化
- 電子カルテへのアクセスは必要最小限の権限に制限します。多要素認証(MFA)の導入により、パスワード漏洩時のリスクを軽減できます。
医療機器連携システムの対策
医療機器(CT、MRI、人工呼吸器など)と電子カルテの連携部分にも注意が必要です。
| 対策項目 | 具体的な実施内容 |
|---|---|
| 接続点の保護 | 医療機器との接続部分にファイアウォールを設置 |
| レガシー機器の隔離 | 更新できない古い機器は専用セグメントに隔離 |
| 通信の監視 | 医療機器との通信ログを記録・監視 |
| ベンダー管理 | 保守用リモートアクセスの厳格な管理 |
厚労省ガイドライン第6.0版への対応
医療情報システムの安全管理に関するガイドライン第6.0版
厚生労働省は2023年5月に「医療情報システムの安全管理に関するガイドライン」を第6.0版に改定しました。このガイドラインは法的義務ではありませんが、医療機関における情報セキュリティの実質的な基準として機能しています。
- 2023年5月改定のポイント
- サイバー攻撃への対策強化が大きな柱となっています。ランサムウェア被害の増加を受け、バックアップの分離保管、インシデント対応計画の策定、事業継続計画(BCP)の整備が新たに強調されました。
- ゼロトラスト思考の導入
- 従来の境界型セキュリティ(ファイアウォールで内部を守る)から、内部ネットワークも信頼しない「ゼロトラスト」の考え方への移行が推奨されています。
対応すべき主要項目
| 対策区分 | 主要項目 | 対応のポイント |
|---|---|---|
| 技術的安全対策 | アクセス制御、暗号化、ログ管理 | 多要素認証の導入、通信の暗号化 |
| 組織的安全対策 | 管理体制、規程整備、委託先管理 | 責任者の明確化、契約書のセキュリティ条項 |
| 物理的安全対策 | 入退室管理、機器の保護 | サーバー室の施錠、端末の盗難対策 |
| 人的安全対策 | 教育・訓練、秘密保持 | 定期的なセキュリティ研修、フィッシング訓練 |
3省2ガイドライン(3省3ガイドライン)
医療情報システムに関しては、厚労省だけでなく経済産業省、総務省もガイドラインを策定しています。
- 3省2ガイドライン(3省3ガイドライン)とは
- 厚労省「医療情報システムの安全管理に関するガイドライン」、経産省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の総称です。クラウドサービスを利用する場合は、両ガイドラインへの対応が必要となります。
- クラウドサービス利用時の考慮点
- クラウド型電子カルテを導入する際は、事業者が3省2ガイドラインに対応しているか確認が必要です。契約書にセキュリティ要件を明記し、インシデント発生時の責任分界点を明確にしておきましょう。
医療機関特有のBCP策定
診療継続計画の重要性
医療機関のBCP(事業継続計画)は、一般企業とは異なる視点が必要です。患者の生命と健康を守るため、システム停止時も診療を継続できる体制を整備しなければなりません。
- 紙運用への切り替え手順
- 電子カルテが使用できない場合に備え、紙カルテでの診療記録、処方箋の手書き発行、検査オーダーの紙伝票運用などの手順を文書化しておきます。定期的な訓練により、実際に機能するか確認してください。
- 代替システムの準備
- 基幹システムとは別系統のバックアップシステムや、最低限の機能を持つスタンドアロン端末の準備を検討します。クラウド型の簡易診療支援システムを契約しておくことも一案です。
- 他院との連携体制
- 近隣医療機関との相互支援協定を締結しておきます。自院で診療継続が困難な場合の患者転送、診療情報の共有方法などを事前に取り決めておきましょう。
BCP策定のポイント
| 策定項目 | 内容 | 確認事項 |
|---|---|---|
| 復旧優先度の設定 | 救急、外来、入院、手術など | どの機能から復旧するか順序を決定 |
| 手動オペレーションの訓練 | 紙カルテ運用、手計算での薬剤管理 | 年1回以上の実地訓練 |
| 連絡体制の整備 | 職員、患者、取引先、行政 | 緊急連絡網の整備と更新 |
| 外部機関との連携 | IPA、警察、厚労省 | 相談窓口の把握と連絡先リスト作成 |
詳細な策定方法については、IT-BCP策定ガイドをご参照ください。
被害事例と教訓
大阪急性期・総合医療センター(2022年10月)
- 被害概要
- 2022年10月31日、大阪急性期・総合医療センター(大阪市住吉区、865床)がランサムウェア攻撃を受け、電子カルテシステムが停止しました。復旧には約2ヶ月を要し、その間は紙カルテでの診療を余儀なくされました。
- 感染経路
- 給食委託業者のVPN機器の脆弱性を悪用して侵入されたとされています。委託先を経由したサプライチェーン攻撃の典型例です。
- 被害の影響
- 電子カルテ、医事会計システム、検査システムなど基幹システムが暗号化されました。救急受入を停止し、手術も延期。紙カルテでの運用を続けながら、段階的にシステムを復旧しました。
- 教訓
- VPN機器のパッチ管理の重要性、委託先を含めたセキュリティ管理、ネットワーク分離の必要性が明確になりました。また、紙運用への移行訓練の重要性も再認識されました。
岡山県精神科医療センター(2024年5月)
- 被害概要
- 2024年5月19日、岡山県精神科医療センター(岡山市、275床)がサイバー攻撃を受け、約4万人分の患者情報が外部に流出した可能性があると発表しました。
- 精神科医療情報という機微情報の漏洩
- 精神科の診療情報は、一般の医療情報以上にセンシティブな内容を含みます。患者の精神疾患、治療内容、家族関係などの情報漏洩は、患者の社会生活に深刻な影響を及ぼす恐れがあります。
- 教訓
- 要配慮個人情報の保護強化、暗号化の徹底、アクセスログの監視が重要です。漏洩時の患者への説明対応も課題として浮き彫りになりました。
その他の事例から学ぶ教訓
複数の医療機関の被害事例を分析すると、共通する脆弱性と教訓が見えてきます。
| 共通する脆弱性 | 発生頻度 | 対策の優先度 |
|---|---|---|
| VPN機器の脆弱性 | 非常に高い | 最優先 |
| ネットワーク分離の不備 | 高い | 高 |
| バックアップの同一ネットワーク保管 | 高い | 高 |
| 委託先管理の不備 | 中程度 | 中 |
| 従業員教育の不足 | 中程度 | 中 |
中小病院・クリニック向け対策チェックリスト
予算・人員制約下での優先対策
中小規模の医療機関でも実践可能な対策を、優先度別に整理しました。
| 優先度 | 対策項目 | 概算コスト | 実施目安 |
|---|---|---|---|
| 高 | VPN機器のファームウェア更新 | 無料〜数万円 | 即時 |
| 高 | バックアップのオフライン保管 | 数万円〜 | 1週間以内 |
| 高 | Windows Updateの適用 | 無料 | 即時 |
| 高 | 緊急連絡先リストの整備 | 無料 | 1週間以内 |
| 中 | EDR導入 | 月額数千円/台〜 | 1ヶ月以内 |
| 中 | 従業員向けセキュリティ教育 | 無料〜数万円 | 3ヶ月以内 |
| 中 | 多要素認証の導入 | 無料〜月額数百円/人 | 3ヶ月以内 |
| 低 | ゼロトラスト移行 | 数百万円〜 | 中長期計画 |
| 低 | SOC構築/外部委託 | 月額数十万円〜 | 中長期計画 |
外部サービスの活用
IT専任者がいない医療機関では、外部サービスの活用を検討してください。
- マネージドセキュリティサービス(MSS)
- 24時間監視、インシデント対応を外部委託するサービスです。自院に専門家がいなくても、一定レベルのセキュリティを確保できます。
- クラウドバックアップ
- 院内のバックアップに加え、クラウドへの自動バックアップを設定することで、ランサムウェアによる暗号化から守れます。医療情報に対応したサービスを選択してください。
- 医療情報システム専門ベンダーとの連携
- 電子カルテベンダーが提供するセキュリティオプションを確認しましょう。パッチ適用の代行、セキュリティ監視サービスなどを提供しているベンダーもあります。
よくある質問(FAQ)
- Q: 電子カルテのパッチ適用はベンダーに任せておけばよいですか?
- A: ベンダー任せは危険です。保守契約の内容を確認し、パッチ適用の責任分界点を明確にしてください。多くの場合、パッチ適用の最終判断と実施タイミングは医療機関側にあります。VPN機器などの周辺機器については、特に自院での管理が必要です。ベンダーからの脆弱性情報を定期的に確認し、重大な脆弱性には速やかに対応する体制を整えましょう。
- Q: 医療機器がつながっているネットワークも対策が必要ですか?
- A: 必要です。医療機器経由でのランサムウェア感染事例も報告されています。特に古いOSで動作する医療機器は、直接インターネットや事務系ネットワークに接続しないよう、ネットワークを分離することが重要です。医療機器専用のセグメントを設け、電子カルテとの通信のみを許可する設計を推奨します。
- Q: クリニック(診療所)でもランサムウェア対策は必要ですか?
- A: 規模に関係なく対策は必要です。攻撃者は大病院だけでなく、セキュリティ対策が手薄な中小医療機関も標的にしています。患者の個人情報を扱う以上、個人情報保護法に基づく安全管理措置義務があります。最低限、VPN機器の更新、バックアップのオフライン保管、従業員教育は実施してください。
- Q: 厚労省ガイドラインへの対応は義務ですか?
- A: 法的義務ではありませんが、実質的な業界基準として機能しています。医療法に基づく立入検査や、診療報酬改定に関連した調査でガイドライン対応状況を確認されることがあります。また、インシデント発生時に「ガイドラインに沿った対策を講じていなかった」と判断されると、管理責任を問われる可能性があります。
- Q: 患者情報が漏洩した場合の報告義務は?
- A: 個人情報保護法に基づき、個人情報保護委員会への報告と本人への通知が義務付けられています。医療機関の場合は厚生労働省への報告も求められます。漏洩が判明した場合は、速やかに報告・通知を行う必要があります。報告期限や手続きの詳細は、法的責任のページをご参照ください。
まとめ:医療機関が今すぐ実施すべきこと
医療機関がランサムウェアの脅威から患者と医療システムを守るためには、以下の対策を優先的に実施してください。
- VPN機器のファームウェア確認・更新(即時)
- バックアップのオフライン保管(1週間以内)
- ネットワーク分離状況の確認(1ヶ月以内)
- 厚労省ガイドライン第6.0版の確認と対応計画策定(3ヶ月以内)
- 紙運用への切り替え訓練(年1回以上)
ランサムウェア対策の全体像については、ランサムウェアとは?仕組み・感染経路・対策を徹底解説をご参照ください。また、より詳細な対策についてはランサムウェア対策完全ガイドもあわせてご確認ください。
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 各ガイドラインは最新版をご確認ください
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- 厚生労働省医政局(医療機関向け)
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口やガイドラインは更新される可能性があります
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
