医療機関が狙われる理由【命に関わる脅威】
医療機関がサイバー攻撃者にとって魅力的なターゲットである理由は、複数の要因が重なっています。患者情報の価値、システムの脆弱性、そして「診療を止められない」という医療機関特有の事情が、攻撃の成功率を高めているのです。
患者情報の闇市場価値
患者情報は、闇市場において非常に高値で取引されています。一般的な個人情報やクレジットカード情報と比較すると、その価格差は歴然です。
- 患者情報(医療記録一式)
- 取引価格:約5万円/件。保険証番号、病歴、処方薬情報、家族構成など、一生変わらない情報を含むため高額で取引される
- クレジットカード情報
- 取引価格:約500円/件。利用停止により即座に無効化されるため価値が低い
- 一般的な個人情報(氏名・住所のみ)
- 取引価格:約50円/件。入手が容易であり希少価値がない
患者情報が高額である理由は、その悪用可能性の広さにあります。
| 悪用パターン | 手口の詳細 | 被害の深刻度 |
|---|---|---|
| 保険証の不正利用 | 他人の保険証情報で医療費を詐取 | 高 |
| 医療費控除の不正申告 | 確定申告で架空の医療費を申告 | 中 |
| 製薬会社への情報売却 | 特定疾患の患者リストとして販売 | 中 |
| 二次的な詐欺ターゲティング | 病歴に基づく健康食品詐欺など | 高 |
| なりすまし診療 | 他人の保険証で診療を受ける | 高 |
クレジットカード情報は不正利用が発覚すれば即座にカード会社が停止できますが、病歴や保険証番号は一生変更できません。この「変更不能性」こそが、患者情報の価値を押し上げている最大の要因です。
医療機関のシステム脆弱性
医療機関のITシステムには、他業種と比較して特有の脆弱性が存在します。これらは医療機関の業務特性に起因するものが多く、簡単には解消できない構造的な問題です。
脆弱性の5大要因
- 要因1:レガシーシステムの存在
- Windows XPやWindows 7で稼働する医療機器が現役で使われていることがあります。CTやMRIなどの高額医療機器は、制御ソフトウェアの更新ができない設計になっていることが多く、セキュリティパッチの適用が不可能な状態が続いています。機器の入れ替えには数億円規模の投資が必要となるため、やむを得ずサポート終了OSを使い続けているケースが少なくありません
- 要因2:24時間365日稼働の制約
- 救急医療を担う病院では、システムの計画停止すら困難です。通常の企業であれば週末にメンテナンス時間を設けられますが、医療機関ではその時間を確保することが難しく、セキュリティアップデートが後回しになりがちです
- 要因3:IT予算・人材の慢性的不足
- 医療機関の予算は医療機器の購入や人件費が優先され、ITセキュリティへの投資は後回しになる傾向があります。特に中小規模の医療機関では、専任のIT担当者を置く余裕がなく、事務職員が兼務で対応していることも珍しくありません
- 要因4:医療従事者のITリテラシーの課題
- 医師や看護師は医療の専門家であり、ITセキュリティの専門家ではありません。本業である患者対応が最優先となる中で、セキュリティ教育に十分な時間を割くことが難しい現実があります。USBメモリによる安易なデータ持ち運びなど、セキュリティリスクを高める運用が見られることもあります
- 要因5:多様な外部接続による攻撃面の拡大
- 地域医療連携ネットワーク、診療報酬請求(レセプト)システム、外部検査機関とのデータ連携など、医療機関は業務上、多くの外部システムと接続する必要があります。これらの接続ポイントそれぞれが、潜在的な攻撃の入口となり得ます
実際の被害事例(詳細分析)
国内で実際に発生した医療機関のランサムウェア被害事例を分析することで、フィッシング攻撃がどのように深刻な事態につながるかを理解できます。
事例:A総合病院(病床数約500床)2024年発生
事務職員が受信した「診療報酬改定に伴うシステム更新のお知らせ」という件名のフィッシングメールが発端でした。添付ファイルを開いたことでEmotetマルウェアに感染し、その後Ryukランサムウェアが院内ネットワーク全体に展開されました。
被害の時系列
| 経過時間 | 発生した事象 |
|---|---|
| 感染直後 | Emotetが院内ネットワークで横展開を開始 |
| 8時間後 | Active Directory管理者権限の窃取 |
| 24時間後 | 電子カルテサーバーへの侵入完了 |
| 36時間後 | バックアップサーバーへのアクセス確保 |
| 48時間後 | Ryukランサムウェア一斉展開、全システム暗号化 |
被害状況の詳細
- 電子カルテシステムの完全暗号化
- 診療停止期間:72時間(3日間)
- 救急患者の受入停止を決定
- 予定手術約20件の延期
- 外来患者約3,000名に影響
金銭的被害の内訳
| 項目 | 金額 |
|---|---|
| 攻撃者からの身代金要求額 | 5,000万円(支払わず) |
| システム復旧費用 | 約8,000万円 |
| 診療報酬損失(推定) | 約2億円 |
| 風評被害による患者減 | 算定不能 |
この事例から得られる教訓は明確です。フィッシングメール対策の不足、オンラインバックアップのみでオフラインバックアップがなかったこと、BCP(事業継続計画)が形骸化していたことが、被害を拡大させました。
医療機関のサイバーセキュリティについて、より広い視点で理解したい方は「フィッシング詐欺とは?2025年最新の手口から対策まで完全ガイド」も併せてご確認ください。
ランサムウェアへの入口となるフィッシング【最重要】
医療機関におけるランサムウェア被害の大半は、フィッシングメールを起点としています。つまり、フィッシング対策を強化することが、ランサムウェア対策の最前線となります。
医療機関ランサムウェア被害の統計
2024年の医療機関を対象としたサイバー攻撃データを分析すると、初期侵入経路の内訳は以下のとおりです。
| 初期侵入経路 | 割合 | 主な手法 |
|---|---|---|
| フィッシングメール | 73% | 偽の診療報酬通知、学会案内など |
| VPN脆弱性の悪用 | 15% | パッチ未適用のVPN機器への攻撃 |
| その他 | 12% | USB経由、内部不正など |
このデータが示すとおり、フィッシングメール対策を徹底すれば、ランサムウェア被害の7割以上を防止できる可能性があるといえます。
感染から診療停止までの72時間タイムライン
典型的な攻撃シナリオを時系列で追うことで、どの段階で対策が可能かを理解できます。
- Day 1 午前9時:初期感染
- 事務職員が「令和7年度診療報酬改定に伴う電子カルテ更新について」という件名のメールを受信。添付されていた「請求書.xlsx」を開き、マクロを実行したことでEmotetマルウェアに感染
- Day 1 午前9時〜午後5時:横展開フェーズ
- Emotetが院内ネットワーク内で横展開を開始。同一ネットワーク上の他のPCやサーバーへ感染を拡大。この段階で検知できれば被害を最小限に抑えられた
- Day 1 深夜:権限昇格
- Active Directory(AD)サーバーへの侵入に成功し、ドメイン管理者権限を窃取。これにより、院内のほぼ全てのシステムにアクセス可能な状態に
- Day 2 深夜2時:ランサムウェア展開
- Ryukランサムウェアが院内の全サーバー・全端末に一斉展開。電子カルテシステム、会計システム、バックアップサーバーを含む全てのデータが暗号化される
- Day 2 午前6時:異常発覚
- 早番の職員がシステムにログインできないことに気づく。画面には身代金要求のメッセージが表示。即座に診療開始不可と判断し、救急受入停止を決定
- Day 2〜Day 4:復旧作業
- 紙カルテへの切替対応、外部セキュリティ専門家の招聘、システムの再構築作業。72時間後にようやく部分的な復旧に至る
ランサムウェアの詳細な仕組みと対策については「ランサムウェア攻撃の全て」で詳しく解説しています。本ページでは、医療機関特有のフィッシング対策に焦点を当てて解説を続けます。
3省2ガイドライン準拠チェックリスト【コンプライアンス必須】
医療機関のセキュリティ対策は、単なる自主的な取り組みではなく、ガイドラインへの準拠が事実上求められています。
3省2ガイドラインとは
医療情報システムのセキュリティに関して、3つの省庁から2種類のガイドラインが示されています。
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」
- 医療機関が遵守すべきセキュリティ対策を網羅的に定めた最も重要なガイドライン。第6.0版(2023年5月改定)が最新版
- 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
- 電子カルテベンダーやクラウドサービス事業者向けのガイドライン。医療機関がベンダーを選定する際の判断基準としても活用される
対象となる施設
- 全ての病院・診療所
- 歯科診療所
- 調剤薬局
- 地域医療連携ネットワークに参加する施設
- 医療系クラウドサービスを提供する事業者
法的位置づけの重要性
3省2ガイドラインは法律ではないため、直接的な法的拘束力はありません。しかし、医療法や個人情報保護法の解釈基準として機能しており、監査の際には準拠状況が確認されます。万一のセキュリティ事故が発生した場合、ガイドラインへの準拠状況が過失の有無を判定する重要な基準となります。したがって、実質的には「準拠必須」と考えるべきです。
厚生労働省ガイドライン準拠チェックリスト
以下は、フィッシング対策に関連する主要項目を抜粋したチェックリストです。
組織的安全管理対策
| チェック項目 | 確認内容 | 状況 |
|---|---|---|
| 情報セキュリティポリシーの策定 | 文書化され、承認されているか | □ |
| 年1回以上の見直し | 定期的な更新が行われているか | □ |
| 全職員への周知 | 研修等で周知されているか | □ |
| 情報セキュリティ責任者の任命 | 責任者が明確に任命されているか | □ |
| 情報セキュリティ委員会の設置 | 定期的に開催されているか | □ |
人的安全管理対策
| チェック項目 | 確認内容 | 状況 |
|---|---|---|
| 雇用契約時の機密保持契約 | 全職員と締結しているか | □ |
| 年1回以上のセキュリティ教育 | 実施記録が残されているか | □ |
| 退職時のアクセス権削除 | 退職日当日に実施されているか | □ |
| フィッシング訓練の実施 | 定期的に実施しているか | □ |
技術的安全対策(フィッシング関連)
- アクセス制御の実施
- - ユーザー認証の適切な実施 - 職種別・部門別の権限管理(医師は全診療科閲覧可、看護師は担当病棟のみ、事務は会計情報のみ等) - 二要素認証の導入検討
- アクセスログの記録と監査
- - 全アクセスログの記録 - 3年間の保存(法定期間) - 月1回以上の監査実施
- 不正ソフトウェア対策
- - ウイルス対策ソフトの全端末への導入 - 定義ファイルの自動更新設定 - メールフィルタリングの実施 - 添付ファイルの自動検査 - URLフィルタリングの実施
バックアップに関する要件
| 要件 | 具体的内容 | 重要度 |
|---|---|---|
| 日次バックアップ | 自動実行の設定 | 必須 |
| 世代管理 | 最低3世代の保持 | 必須 |
| オフライン保管 | ネットワークから物理的に分離した保管 | 必須 |
| 復旧訓練 | 年1回以上の実施 | 必須 |
| RTO/RPOの設定 | 目標復旧時間・目標復旧時点の明確化 | 推奨 |
重要な注意点:オンラインバックアップのみでは不十分です。ランサムウェアはネットワーク経由でバックアップサーバーにもアクセスし、バックアップデータごと暗号化してしまいます。必ずオフライン(ネットワークから物理的に分離した)バックアップを確保してください。
クラウドサービス利用時の追加要件
電子カルテ等でクラウドサービスを利用する場合、追加で確認すべき項目があります。
| 確認項目 | 確認内容 |
|---|---|
| セキュリティ認証 | ISO/IEC 27001、ISO/IEC 27017、ISMS認証のいずれかを取得しているか |
| データ保存場所 | 国内データセンターでの保存が推奨。海外保存の場合は個別審査が必要 |
| SLA(サービスレベル契約) | 可用性99.9%以上、データ復旧時間の明記があるか |
| データの暗号化 | 保存時・通信時ともに暗号化されているか |
| 解約時のデータ処理 | データの完全削除が保証されているか |
企業としてのフィッシング対策体制については「企業のフィッシング詐欺対策体制」でも詳しく解説しています。
医療従事者を狙うフィッシングメールの典型パターン
医療機関を標的としたフィッシングメールには、業界特有のパターンがあります。攻撃者は医療従事者の業務内容を熟知しており、開封せざるを得ないような巧妙な内容で攻撃を仕掛けてきます。
パターン1:診療報酬改定・レセプト関連
最も効果的とされる偽装パターンです。
典型的な件名例
- 【重要】令和7年度診療報酬改定に伴う電子カルテ更新について
- 【至急】レセプト請求に関する重要なお知らせ
- 診療報酬オンライン請求システム更新のご案内
なぜ騙されやすいのか
- 実際のイベントに便乗
- 診療報酬改定は2年ごとに実施される実際のイベントであり、関連の通知が届くことは不自然ではない
- 業務への影響の大きさ
- システム更新を怠ると診療報酬請求ができなくなる可能性があり、無視できない
- 期限設定による焦り
- 「〇月〇日までに適用してください」という期限設定で、冷静な判断を妨げる
- 送信者への信頼
- 電子カルテベンダーからのメールと信じ込んでしまう
本物との見分け方
正規のシステムベンダーは以下のような対応をします。
- 事前に書面(郵送)で通知を送付する
- 営業担当者から電話で連絡がある
- 立会いのもとでアップデート作業を行う
- メールのみで更新プログラムを配布することはない
パターン2:地域医療連携ネットワーク偽装
医療機関同士の信頼関係を悪用するパターンです。
典型的な件名例
- 患者情報共有システムのパスワード変更について
- 地域医療連携ネットワーク セキュリティ強化のお知らせ
- 【重要】連携システムへの再ログインのお願い
このパターンが危険な理由は、地域医療連携システムの重要性を悪用している点にあります。「患者情報が閲覧できなくなる」と脅すことで、医療従事者に焦りを生じさせ、偽のログインページで認証情報を窃取します。
パターン3:学会・研修会偽装
医師の学習意欲を悪用するパターンです。
典型的な件名例
- 【日本〇〇学会】オンライン研修会資料の送付
- 専門医更新に必要な講習会のご案内
- 学会誌掲載論文のPDF送付
医師は専門知識の継続的なアップデートが求められる職種です。学会からのメールは信頼度が高く、研修資料の確認は業務の一環と認識されています。多忙な業務の合間に確認するため、URLや添付ファイルの精査が不十分になりがちです。
パターン4:医薬品情報・添付文書改訂
薬剤師や看護師を標的としたパターンです。
典型的な件名例
- 【緊急】〇〇(医薬品名)添付文書改訂のお知らせ
- 医薬品安全性情報の緊急配信
- 【重要】〇〇製剤の使用上の注意改訂について
このパターンの巧妙さは、患者の安全に直結する内容であることです。医薬品の重大な副作用情報は無視できず、すぐに確認しなければ医療事故につながるという心理が働きます。
フィッシングメールの見分け方については「フィッシング詐欺の手口と事例大全」でさらに詳しく解説しています。
小規模クリニックの現実的なフィッシング対策
大病院のようなIT部門を持たない小規模クリニックでも、実施可能な対策があります。限られた予算と人員の中で、最大限の効果を発揮する方法を解説します。
小規模クリニックが直面する現実
典型的な小規模クリニック(医師1名、看護師2名、事務員2名程度)の状況を整理します。
| 項目 | 一般的な状況 |
|---|---|
| IT専任担当者 | いない(事務員が兼務) |
| 年間IT予算 | 30万円以下 |
| 電子カルテ | クラウド型を利用 |
| セキュリティ意識 | 低〜中程度 |
| 3省2ガイドライン | 読む時間がない |
直面している課題
- ガイドラインが長文で専門用語が多く、何から始めればよいかわからない
- 高額なセキュリティ製品の導入は予算的に不可能
- 職員教育に割ける時間が限られている
- ITトラブル発生時に相談できる先がない
月額1万円以下で実現する基本対策パッケージ
限られた予算でも、最低限のセキュリティ対策は実現可能です。
| 対策カテゴリ | 推奨サービス例 | 月額費用目安 | 効果 |
|---|---|---|---|
| メールセキュリティ | Google Workspace Business Standard | 約3,400円(5名) | フィッシングメール自動検出、添付ファイルスキャン |
| エンドポイント保護 | ESET Internet Security等 | 約2,500円(5台) | ランサムウェア対策、フィッシングサイトブロック |
| バックアップ | Acronis Cyber Protect等 | 約3,000円(100GB) | クラウド自動バックアップ、ランサムウェア保護 |
| 従業員教育 | 厚労省提供資料・IPAツール | 無料 | セキュリティ意識向上 |
| 合計 | - | 約8,900円/月 | - |
IT担当者不在でもできる10の対策
優先度と所要時間を明記した、現実的に実行可能な対策リストです。
最優先(今すぐ実施すべき対策)
- 1. パスワード管理ルールの策定(所要時間:30分)
- - 最低12文字以上を必須とする - 同じパスワードの使い回しを禁止 - 3ヶ月ごとの変更をルール化 - パスワードを付箋に書いて貼らない
- 2. 怪しいメールの報告ルール策定(所要時間:15分)
- - 不審なメールは院長または事務長に転送 - 判断が下されるまでリンクのクリック・添付ファイルの開封を禁止 - 報告したことを責めない文化の醸成
- 3. USB使用の原則禁止(即日実施可能)
- - 業務用として管理されたUSBのみ使用許可 - 使用時は管理簿に記載 - 私物USBの持ち込みは厳禁
高優先(月内に実施すべき対策)
- 4. 定期バックアップの確認(週1回・10分)
- - バックアップが正常に実行されているか確認 - 月1回は復元テストを実施
- 5. アクセス権限の見直し(月1回・30分)
- - 退職者のアカウントが残っていないか確認 - 不要な権限が付与されていないか確認
- 6. セキュリティアップデートの適用(月2回・1時間)
- - Windows Updateの実行確認 - 電子カルテシステムのアップデート状況確認
中優先(四半期内に実施すべき対策)
- 7. フィッシングメール訓練(四半期1回・30分)
- - IPAが無料提供するツールを活用 - 訓練メールの開封率を測定し、改善につなげる
- 8. セキュリティ委員会の開催(四半期1回・1時間)
- - インシデント報告の共有 - 対策の見直し検討
- 9. 監査ログの確認(月1回・30分)
- - 不審なアクセスがないか確認 - 深夜や休日のログイン履歴をチェック
年次対応
- 10. BCP訓練(年1回・半日)
- - 電子カルテが使えなくなった場合の紙カルテ運用を確認 - 患者対応のシミュレーション - 連絡体制の確認
中小企業向けの対策については「中小企業のフィッシング詐欺対策」でも詳しく解説しています。
電子カルテシステムの多層防御戦略
電子カルテシステムを守るためには、単一の対策ではなく、複数の防御層を組み合わせた「多層防御」の考え方が重要です。
レイヤー1:ネットワーク分離
最も重要な対策は、ネットワークの適切な分離です。
推奨されるネットワーク構成
インターネット接続ネットワーク
↓ ファイアウォール
事務系ネットワーク(会計・レセプト・メール)
↓ ファイアウォール
医療系ネットワーク(電子カルテ)
↓ 物理的分離
医療機器専用ネットワーク(CT・MRI等)
この構成により、フィッシングメール経由でマルウェアに感染した場合でも、被害を事務系PCにとどめ、電子カルテシステムへの侵入を防ぐことができます。
レイヤー2:アクセス制御
職種ごとに適切なアクセス権限を設定することで、被害を最小化できます。
| 職種 | 閲覧可能範囲 | 編集権限 |
|---|---|---|
| 医師 | 全患者の全情報 | カルテ記載・オーダー入力可 |
| 看護師 | 担当病棟の患者情報 | バイタル入力・実施記録可 |
| 薬剤師 | 処方情報・検査値 | 薬剤情報の記載可 |
| 事務職員 | 会計情報・予約情報 | 診療内容は閲覧不可 |
さらに、二要素認証の導入が推奨されます。ID・パスワードに加えて、ICカードまたは生体認証を組み合わせることで、なりすましログインを防止できます。
レイヤー3:暗号化
- データベース暗号化
- 患者情報テーブルはAES-256等の強力な暗号化アルゴリズムで保護。万一データが流出しても、暗号化されていれば解読は極めて困難
- 通信暗号化
- 電子カルテクライアントとサーバー間の通信はSSL/TLSで暗号化。地域医療連携ネットワークへの接続はVPN必須
- バックアップの暗号化
- バックアップデータも暗号化した上で、オフライン環境に保管
レイヤー4:監視と検知
異常なアクセスを早期に検知するための監視体制を構築します。
| 検知シナリオ | 想定される攻撃 | 対応アクション |
|---|---|---|
| 深夜の大量アクセス | ランサムウェアによる暗号化 | 自動遮断・アラート発報 |
| 権限外の情報アクセス | アカウント乗っ取り | アラート発報・アカウント凍結 |
| 大量の患者情報ダウンロード | 情報持出し | 管理者への即時通知 |
| 通常と異なるIPからのログイン | なりすまし | 追加認証要求 |
インシデント発生時のBCP【人命最優先】
電子カルテシステムがランサムウェアに感染した場合、人命を最優先とした事業継続計画(BCP)が必要です。
BCP発動判断基準
状況に応じて4段階のレベルを設定し、適切な対応を行います。
| レベル | 状況 | 対応 |
|---|---|---|
| レベル1:注意 | フィッシングメールの受信、怪しいアクセスログの発見 | 監視強化、職員への注意喚起 |
| レベル2:警戒 | マルウェア感染の疑い、不審なシステム動作 | 該当端末の隔離、専門家への相談 |
| レベル3:緊急(BCP発動) | 電子カルテにログイン不可、身代金要求画面の表示 | BCP発動、診療継続の可否判断 |
| レベル4:災害級 | 電子カルテ完全停止、バックアップも暗号化 | 紙カルテ運用、救急受入の制限検討 |
診療継続のための紙カルテ運用
電子カルテが使用できなくなった場合に備え、事前準備が必要です。
事前準備チェックリスト
| 準備項目 | 備蓄量・更新頻度 | 確認状況 |
|---|---|---|
| 紙カルテ用紙 | 最低1週間分 | □ |
| 手書き処方箋用紙 | 最低1週間分 | □ |
| スタンプ・印鑑類 | 必要数 | □ |
| 患者基本情報の紙台帳 | 週1回更新 | □ |
| 常用薬一覧の印刷物 | 月1回更新 | □ |
| 直近検査結果の予備印刷 | 月1回更新 | □ |
システム障害発生時の対応手順
- STEP1:発覚から30分以内
- - 院長・事務長への即時報告 - 全職員への周知 - 紙カルテ用紙の配布開始
- STEP2:30分〜1時間
- - 予約患者への電話連絡開始 - ホームページへの掲示(可能であれば) - 救急患者受入可否の判断
- STEP3:1時間以降
- - 紙カルテによる診療運用開始 - 外部セキュリティ専門家の招聘 - 警察・保健所への報告(必要に応じて)
紙運用時の注意点
- 投薬履歴が不明な場合は、患者への聞き取りを徹底する
- アレルギー情報は必ず患者本人に確認する
- 検査値履歴がない状態での診療は慎重に行う
- 複数の医師間での情報共有が困難になるため、カンファレンスの頻度を増やす
インシデント発生時の初動対応については「フィッシング被害直後30分の緊急対応」も参考にしてください。また、BCP全般については「事業継続計画(BCP)/災害復旧(DR)」で詳しく解説しています。
よくある質問(FAQ)
- Q: 小規模クリニックも狙われますか?
- A: はい、むしろ狙われやすい傾向があります。大病院はセキュリティが比較的厳重なため、攻撃者はセキュリティ対策が手薄な小規模クリニックを標的にすることがあります。2024年の調査では、ランサムウェア被害の約60%が病床数100床未満の中小医療機関でした。患者情報の価値は病院の規模に関係なく高いため、「小規模だから狙われない」という認識は危険です。
- Q: 3省2ガイドライン準拠は法的義務ですか?
- A: ガイドラインそのものに法的拘束力はありません。しかし、医療法や個人情報保護法の解釈基準として機能しており、監査での確認事項となっています。万一セキュリティ事故が発生した場合、ガイドラインへの準拠状況が過失の判定に影響する可能性があるため、実質的には準拠が求められていると考えるべきです。
- Q: フィッシング訓練で職員から反発があります。どう対応すべきですか?
- A: 訓練の目的は「職員を罰すること」ではなく「組織全体のセキュリティ意識を高めること」であると、事前に明確に伝えることが重要です。訓練メールを開いてしまった職員を責めるのではなく、なぜ騙されやすいのかを全員で学ぶ機会として活用してください。訓練結果は個人名を伏せた形で共有し、改善点を組織全体で検討するアプローチが効果的です。
- Q: ランサムウェアの身代金は払うべきですか?
- A: 支払いは推奨されません。理由は複数あります。まず、支払ってもデータが復元される保証がありません。また、支払いが犯罪組織の資金源となり、さらなる攻撃を助長します。加えて、「支払う組織」として認識され、再攻撃の標的になるリスクもあります。オフラインバックアップからの復旧を最優先とし、専門家や警察への相談を行ってください。
- Q: クラウド型電子カルテは安全ですか?
- A: クラウド型は、適切なサービスを選択すれば、オンプレミス型(院内設置型)より安全な場合があります。大手クラウド事業者は高度なセキュリティ対策を実施しており、小規模医療機関が自前で同等の対策を講じることは困難だからです。ただし、ISO/IEC 27001等のセキュリティ認証を取得したサービスを選ぶこと、データの保存場所が国内であることを確認することが重要です。
- Q: バックアップがあれば安心ですか?
- A: オンラインバックアップのみでは不十分です。ランサムウェアはネットワーク経由でバックアップサーバーにもアクセスし、バックアップデータごと暗号化してしまいます。必ずネットワークから物理的に分離したオフラインバックアップを確保してください。また、定期的に復元テストを実施し、バックアップが実際に使えることを確認することも重要です。
- Q: 医療機器のセキュリティはどうすればよいですか?
- A: CTやMRIなどの医療機器は、OSのアップデートができないものが多く存在します。このような機器については、ネットワーク分離による対策が有効です。医療機器専用のネットワークセグメントを設け、他のネットワークとの通信を最小限に制限することで、リスクを軽減できます。機器の更新時には、セキュリティ対応状況を調達要件に含めることも検討してください。
関連するセキュリティリスクと対策
医療機関を狙う攻撃は、フィッシング詐欺だけではありません。関連する脅威についても理解を深めておくことが重要です。
- ランサムウェア攻撃
- 本記事で解説したとおり、フィッシングを入口として展開されることが多い。詳細は「ランサムウェア攻撃の全て」を参照
- ソーシャルエンジニアリング
- 電話での問い合わせを装って情報を引き出す手口。医療機関では患者を装った問い合わせも発生している
- データ漏洩
- 患者情報の流出は医療機関にとって致命的。詳細は「データ漏洩対策」を参照
- 内部不正
- 退職者による患者情報の持ち出しなど。アクセス権限管理と監査ログの確認が重要
業界別のフィッシング対策については「業界別フィッシング詐欺対策」でも各業界の特性に応じた対策を解説しています。従業員教育については「フィッシング詐欺対策の従業員教育」も参考にしてください。
【医療従事者の皆様へ】
本記事は医療機関のセキュリティ向上を目的とした一般的な情報提供です。個別の医療機関の状況に応じた対策については、セキュリティ専門家にご相談ください。システムの変更は必ず電子カルテベンダーと相談の上、慎重に実施してください。
患者の生命・安全を最優先に、無理のない範囲での段階的な対策実施をお勧めします。
参考ガイドライン
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」
- 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
緊急時の相談先
| 相談先 | 連絡先 | 対応内容 |
|---|---|---|
| IPA(情報処理推進機構) | 03-5978-7591 | セキュリティに関する一般相談 |
| JPCERT/CC | 03-6271-8901 | サイバー攻撃に関する緊急相談(24時間) |
| 警察サイバー犯罪相談 | #9110 | サイバー犯罪被害の相談 |
| 消費生活センター | 188 | 詐欺被害の相談 |
【重要なお知らせ】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
- 実際に被害に遭われた場合は、警察(#9110)や消費生活センター(188)などの公的機関にご相談ください
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください
- 記載内容は作成時点(2025年11月)の情報であり、手口は日々進化している可能性があります
- 最終更新日:2025年11月XX日
関連ページ
- フィッシング詐欺とは?2025年最新の手口から対策まで完全ガイド
- ランサムウェア攻撃の全て
- 業界別フィッシング詐欺対策
- 企業のフィッシング詐欺対策体制
- フィッシング詐欺対策の従業員教育
- フィッシング被害直後30分の緊急対応
- データ漏洩対策
- 事業継続計画(BCP)/災害復旧(DR)
- 中小企業のフィッシング詐欺対策
📍 ナビゲーション
🏠 フィッシング詐欺完全ガイドTOP
現在地: TOP > 業界別対策
📂 主要カテゴリー
- 📰 最新情報・速報
- 🔧 技術者向け対策
- 📋 手口と事例
- 🛡️ 対策・防御方法
- 🚨 被害時の対応
- 🏢 業界別対策 ← 現在のページ
📄 業界別対策の詳細ページ
金融業界
サービス業界
公共・その他
📊 業界別年間被害額(2025年)
- 金融業界:6,200億円
- EC・通販:450億円
- 医療機関:120億円
- その他:230億円
更新履歴
- 初稿公開