2021年の徳島県つるぎ町立半田病院のランサムウェア被害(復旧まで約2か月・被害総額3億円超)、2022年の大阪急性期・総合医療センター停止事故、2024年の岡山県精神医療センター事案など、医療機関に対するサイバー攻撃は年々深刻化しています。独立行政法人情報処理推進機構(IPA)の報告では、ランサムウェアは「10大脅威 2026」でも組織向け第1位に位置づけられています。こうした状況を受け、医療機関にとって「サイバー保険」は、もはや選択肢ではなく、リスクマネジメントの基盤となりつつあります。
本記事では、医療機関向けサイバー保険の補償範囲・保険料相場・主要保険会社の比較・加入手順・よくある失敗事例を、各社公式公開情報と公的ガイドラインをもとに整理します。特定商品の推奨はおこなわず、専門代理店への相談を推奨します。
この記事で分かること
- 医療機関特有のサイバーリスクと被害規模の実態
- サイバー保険が補償する範囲(ランサムウェア・個人情報漏洩・事業中断)
- 主要保険会社(東京海上・損保ジャパン・三井住友海上・あいおいニッセイほか)の特徴比較
- 医療機関に多い失敗事例と加入前チェックポイント
- 保険料の目安・加入手順・専門代理店の活用方法
[PR]
[PR]
1. 医療機関のサイバーリスク実態:なぜ今、保険が必要なのか
医療機関がサイバー攻撃のターゲットとして狙われやすい理由は複数あります。まず、電子カルテや患者情報は闇市場での価値が高く、金銭的動機の攻撃者にとって魅力的です。加えて、医療機関は「停止できないインフラ」であるため、ランサムウェアに感染した場合に身代金支払いに応じやすいという攻撃者目線の計算も働きます。さらに、多くの中小クリニックや中規模病院ではIT専任スタッフを置く余裕がなく、セキュリティ対策が後手に回りやすい実態があります。
1-1. 被害の深刻さ:数値で見る医療機関のサイバー被害
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月)は、医療機関のサイバーリスクを「組織として管理すべきリスク」と位置づけています。IPAの「情報セキュリティ10大脅威 2026(組織編)」でもランサムウェアが第1位となっており、医療分野は特に標的型攻撃の増加が顕著です。
国内事例では、つるぎ町立半田病院(2021年10月)のケースが象徴的です。電子カルテが約2か月使用不能となり、調査・復旧費用・業務停止損失を合わせた被害は3億円超と報告されています(同病院の調査報告書より)。その後も、大阪急性期・総合医療センター(2022年10月)では、ランサムウェアにより救急・手術を含む通常診療が2か月以上停止しました。2024年には岡山県精神医療センターの患者情報流出事案も発生し、医療機関に対するサイバー攻撃の頻度・規模ともに拡大傾向です。
1-2. 医療機関特有のリスク分類
| リスク分類 | 具体的な脅威 | 医療機関特有の影響 |
|---|---|---|
| ランサムウェア感染 | 電子カルテ・医療機器の暗号化・身代金要求 | 診療停止・手術延期・救急受入不能 |
| 個人情報漏洩 | 患者情報・診療記録の外部流出 | 個人情報保護法違反・損害賠償・報告義務 |
| フィッシング・メール詐欺 | 職員への標的型メール・マルウェア添付 | 内部システムへの不正アクセスの起点 |
| 内部不正・誤操作 | 職員による情報持ち出し・設定ミス | 患者情報の意図せぬ外部送信 |
| サプライチェーン攻撃 | ベンダー・委託先を経由した侵入 | 電子カルテベンダーや医療機器メーカー経由 |
| DDoS攻撃 | Webサイト・予約システムへの過負荷攻撃 | オンライン予約・患者向けポータルの停止 |
上記のリスクはそれぞれ独立して発生するだけでなく、複合的に連鎖するケースも多くあります。たとえば、フィッシングメールからマルウェアが侵入し、ランサムウェアが展開された後に個人情報が漏洩する、という多段階の被害は珍しくありません。
1-3. 規制・法的義務の強化
2022年改正個人情報保護法(全面施行2022年4月)では、個人情報の漏洩等が発生した場合の個人情報保護委員会への報告および本人通知が法的義務となりました。医療機関が保有する「要配慮個人情報」(病歴・診断情報)が漏洩した場合、軽微なケースでも報告が原則必要です。対応費用(法律相談・通知送付・コールセンター設置・調査委託)は数百万円から数千万円規模になる可能性があります。
さらに、厚生労働省が定める3省2ガイドラインへの準拠義務(医療情報システムの安全管理)は、保険料審査・補助金申請においても確認されるようになっており、ガイドライン対応と保険加入はセットで検討することが実務上の標準となっています。
2. サイバー保険の補償範囲:医療機関が確認すべき6項目
サイバー保険の補償内容は保険会社・プランによって大きく異なります。医療機関が加入を検討する際には、以下の6項目を基準に補償内容を精査することが重要です。
2-1. 補償項目の全体像
| 補償カテゴリ | 主な補償内容 | 医療機関での重要度 |
|---|---|---|
| 1. ランサムウェア・サイバー恐喝対応費用 | 対応費用・身代金交渉支援(支払い自体は対象外が多い)・フォレンジック調査 | ★★★★★ |
| 2. 個人情報漏洩対応費用 | 通知費用・コールセンター設置・クレジット監視サービス・行政対応 | ★★★★★ |
| 3. 事業中断(BI)補償 | 診療停止中の逸失収益・復旧費用・人件費 | ★★★★☆ |
| 4. 第三者賠償責任 | 患者・取引先への損害賠償・訴訟費用 | ★★★★☆ |
| 5. セキュリティ専門家費用 | インシデント対応・フォレンジック・広報危機対応 | ★★★☆☆ |
| 6. 規制対応・罰則金(一部) | 行政指導対応費用・課徴金補填(制限あり) | ★★★☆☆ |
2-2. 「補償される」と「補償されない」の境界線
サイバー保険は万能ではありません。医療機関が見落としがちな「補償対象外」の代表的なケースを以下に整理します。
- 身代金の支払い自体:多くの保険会社は身代金の実際の支払い額を補償対象としていません。補償されるのは「対応費用・調査費用・交渉支援費用」です。ただし近年、身代金を補償対象とする特約を設ける商品も一部登場しています(各社公式で確認が必要)。
- 既知の脆弱性が放置されていた場合:ガイドライン違反や明らかなセキュリティ対策の懈怠がある場合、免責となる可能性があります。
- 内部犯行(故意の場合):職員による故意の情報持ち出しは通常補償対象外です。ただし過失・誤操作は対象となるプランが多くあります。
- 戦争・テロ等(戦争免責):国家支援型サイバー攻撃(地政学的な背景を持つ攻撃)は戦争免責条項の解釈により補償されないケースがあります。保険約款の確認が必要です。
- 保険加入前のインシデント:加入前に発生した事案に起因する損害は対象外となります。
2-3. 補償限度額の設定目安
医療機関の規模・保有患者数によって必要な補償限度額は大きく異なります。一般的な目安は下表のとおりですが、個別の状況は専門の保険代理店に相談の上で設定することを推奨します。
| 医療機関の規模 | 補償限度額の目安 | 特に重視すべき補償 |
|---|---|---|
| 個人クリニック(1診療所) | 1,000万〜3,000万円程度 | 個人情報漏洩対応費・ランサム対応費 |
| 中規模クリニック(複数診療科) | 3,000万〜1億円程度 | 事業中断補償・第三者賠償 |
| 中小病院(50〜200床) | 1億〜5億円程度 | 全項目・特にBI補償と賠償責任 |
| 大規模病院・医療法人グループ | 5億円以上・個別設計 | グループ横断補償・規制対応 |
上記はあくまで参考目安です。保有患者数・年間診療収益・IT資産の規模・委託ベンダーとの契約内容を踏まえて、専門代理店と個別に算出することが不可欠です。
3. 主要保険会社
国内の主要損害保険会社が提供するサイバー保険(または特約)の特徴を、各社の公式サイト・公開資料をもとに整理します(2026年5月時点)。保険料・補償内容は契約条件によって変わるため、漏れなく専門代理店を通じて最新の見積もりを取得してください。
3-1. 主要保険会社の特徴一覧
| 保険会社 | 商品名(例) | 特徴・医療機関での評価ポイント | 問い合わせ |
|---|---|---|---|
| 東京海上日動火災保険 | サイバーリスク保険 | 国内最大手。サイバーインシデント対応サービス(TOKIO Marine Cyber Support)と組み合わせ可。医療機関向け実績多数と公式で明記。補償メニューが豊富で大規模医療法人にも対応。 | 代理店経由 |
| 損害保険ジャパン(SOMPOホールディングス) | サイバー保険/SOMPOサイバーセキュリティ | SOMPOグループのセキュリティ子会社と連携したインシデント対応支援を提供。事業中断補償(BI)の設計に強みを持つとされる。 | 代理店経由 |
| 三井住友海上火災保険 | MSサイバー保険 | 中小企業・クリニック向けに比較的シンプルな構成のプランあり。M&A後の保険移管にも対応実績。 | 代理店経由 |
| あいおいニッセイ同和損害保険 | サイバー総合保険 | トヨタグループ系。中小・中堅規模の医療機関にも柔軟な補償設計が可能と公式に案内。テレマティクス連携の実績あり。 | 代理店経由 |
| AIG損害保険(チューリッヒ) | CyberEdge | 外資系で世界的なサイバー保険シェア。グローバル展開する医療法人・外資系病院に実績。身代金関連費用の補償範囲が比較的広い商品設計で知られる(約款要確認)。 | 代理店経由 |
| 日本生命・明治安田生命ほか(生保各社) | 企業向けサイバー特約 | 損保の主商品に対し、生保の特約として付帯できるケースも増加。医療法人の団体契約で選択肢になる場合あり。 | 代理店経由 |
上記は各社の公式公開情報(公式ウェブサイト・プレスリリース)を参照した概要であり、特定商品の優劣を評価・推奨するものではありません。医療機関の状況に最適な保険は、個別の診療規模・保有データ量・既存のセキュリティ対策水準・予算によって異なります。
3-2. 国内外の再保険市場と保険料動向(2025〜2026年)
損害保険料率算出機構(NLIRO)および日本損害保険協会(SONPO)の公開情報によると、サイバー保険の引受市場は2021〜2023年に保険料が大幅に上昇した後、2024〜2025年にかけて一部で安定化・軟化の兆候が見られています。ただし医療機関向けは引き続き、リスク評価が厳格なセグメントとされており、セキュリティ対策の水準(ガイドライン準拠・MFAの導入・EDRの有無)が保険料査定に直結します。
保険料を下げるためには、事前にサイバーセキュリティ評価ツール(保険会社が提供するセキュリティチェックシートへの回答)で高評価を得ることが有効です。また、複数年契約・複数拠点のグループ一括契約では割引が適用される場合があります。
4. ランサムウェア対応:サイバー保険でカバーできること・できないこと
医療機関がサイバー保険に加入する最大の動機の一つが「ランサムウェア被害への備え」です。しかし、保険でカバーされる範囲と、そうでない範囲を正確に理解していないと、被害発生後に「想定と違う」という状況になりかねません。
4-1. ランサムウェア対応で保険が役立つ場面
- フォレンジック調査費用:どこから侵入されたか・何が暗号化・流出されたかを専門会社が調査する費用。一般に数百万〜数千万円規模になります。
- インシデント対応支援:保険会社が契約するセキュリティ専門会社(CSIRT・フォレンジック業者)の派遣・連絡調整費用。
- 危機管理・広報費用:患者・マスメディアへの対応に必要な危機広報コンサルタント費用。
- システム復旧費用:暗号化されたデータ・システムの復旧に要するITベンダー費用(バックアップ復元・再設定)。
- 事業中断中の損失補填(BI補償):診療停止期間中の収益減少分を補償するプランがある商品もあります(補償期間・補償上限に注意)。
4-2. ランサムウェアで保険が直接カバーしないケース
- 身代金の実支払い額:多くの保険商品では、攻撃者への身代金支払いそのものは補償対象外です。身代金を支払うかどうかは法律・倫理・実効性の観点から専門家(弁護士・セキュリティ専門家)と慎重に判断すべき問題であり、保険の補償設計とは別軸です。
- 信用失墜・ブランド毀損:患者離れや社会的評判の低下は定量化・補償が困難なため、通常は補償対象外です。
- 予防投資・セキュリティ強化費用:保険は事後補償が原則であり、事前のセキュリティ対策費(EDR導入・従業員教育等)は補償されません。
- 既存のシステム老朽化に起因する損失:攻撃以前から存在していた問題による損害は対象外となる場合があります。
4-3. 保険加入と並行して実施すべきランサムウェア対策
IPA「サイバーセキュリティ経営ガイドライン Ver3.0」(経済産業省・IPA、2023年3月公表)では、サイバー保険の加入を「リスクの移転」手段として位置づけており、「リスクの低減」(技術的・組織的対策)と組み合わせることを強調しています。保険加入だけで安全性が確保されるわけではありません。
- 3-2-1バックアップルール(3か所・2種類・1か所オフサイト)の実施
- イミュータブル(書き換え不可)バックアップの導入
- EDR(Endpoint Detection and Response)の全端末導入
- 多要素認証(MFA)の全アカウントへの適用
- 定期的なインシデント対応訓練(机上演習)の実施
- サプライチェーンリスク管理(ベンダー契約書の確認)
これらの対策を実施していることが、保険料の査定(ディスカウント)にも好影響をもたらす場合があります。保険会社によっては、EDR導入・MFA適用・バックアップ体制の確認書類を加入条件や保険料算定の根拠として求めるケースもあります。
5. 個人情報漏洩補償:医療機関特有のリスクと対応費用
医療機関は「要配慮個人情報」の最大の保有主体の一つです。病歴・診断情報・処方内容・保険情報など、万が一の漏洩は患者への深刻なプライバシー侵害につながります。個人情報保護法の2022年改正以降、漏洩発生時の対応義務・費用は大幅に拡大しています。
5-1. 個人情報漏洩が発生した場合の法的義務
| 対応項目 | 根拠法令 | 概要 | 期限目安 |
|---|---|---|---|
| 個人情報保護委員会への速報 | 改正個人情報保護法第26条 | 1,000件以上または要配慮個人情報の漏洩等は原則報告義務 | 速やかに(概ね3〜5日以内が実務上の目安) |
| 個人情報保護委員会への確報 | 同上 | 詳細な報告書(漏洩規模・原因・再発防止策等) | 30日以内(不正アクセスは60日以内) |
| 本人への通知 | 同上 | 漏洩した本人への通知(困難な場合は公表) | 速やかに |
| 都道府県・厚生労働省への報告 | 医療法・個人情報保護委員会ガイダンス | 医療機関としての行政報告 | 発覚後速やかに |
5-2. 対応費用の内訳と保険の役割
個人情報漏洩事案が発生した場合、医療機関が実際に負担する費用項目は広範にわたります。一般的な費用項目を以下に整理します(実際の費用は規模・対象件数・対応内容によって大きく異なります)。
- フォレンジック調査費用:漏洩経路・流出範囲の特定。専門業者への委託費は数百万〜数千万円が目安とされています。
- 本人通知費用:郵便・書留による通知送付。対象件数が多い場合、通知費だけで数百万円規模になります。
- コールセンター設置費用:患者からの問い合わせ対応窓口。設置・運営費用が月数十万〜数百万円規模になるケースがあります。
- クレジット監視・IDモニタリングサービス:患者への補償として提供する場合のサービス費。
- 弁護士費用:法的リスクの評価・対応方針の策定・行政対応。
- 危機広報費用:マスメディア・患者・地域への説明対応。
- 損害賠償:患者からの訴訟・示談交渉に伴う賠償額および訴訟費用。
これらの費用の多くは、サイバー保険の「個人情報漏洩対応費用」および「第三者賠償責任」補償でカバーが可能です。ただし、補償限度額・免責金額・補償範囲の細部は保険約款を精読する必要があります。
5-3. 要配慮個人情報の特殊性
患者の病歴・精神科受診歴・感染症情報などの「要配慮個人情報」は、その性質上、一般の個人情報よりも厳重な保護が求められます。漏洩した場合の社会的影響・患者への精神的損害が大きく、損害賠償請求の金額が高額になる傾向があります。保険加入時には、要配慮個人情報の件数・保存方法をあらかじめ保険会社に正確に申告することが重要です。申告漏れは、いざという時に補償が受けられないリスクにつながります。
6. 事業中断(BI)補償:診療収益ダウンにどう備えるか
ランサムウェアや重大なシステム障害で診療が停止した場合、最も大きな経済的ダメージをもたらすのが「収益の喪失」です。事業中断(Business Interruption、BI)補償は、この診療停止期間中の収益減少分を補填するものです。
6-1. BI補償の仕組みと算定方法
サイバー保険におけるBI補償は、一般的に以下の形式で設計されています。
- 補償対象期間(インデムニティ期間):インシデント発生日から、システムが復旧するまでの期間。ただし「最大補償期間」(例:90日・180日・365日)の設定があります。
- 免責期間(待機期間):一般に8〜24時間程度の免責期間が設定されており、この期間内の損失は補償されません。
- 収益補償の算定:通常は過去12か月の平均月次収益を基準に、停止期間分を算定します。
- 追加費用(Extra Expense):復旧を早めるために追加で要した費用(代替システム・臨時スタッフ)も補償対象に含まれるプランがあります。
6-2. 医療機関のBI補償設計で注意すべき点
| チェック項目 | 内容 | 医療機関への影響 |
|---|---|---|
| 補償トリガー条件 | どの条件でBIが起動するか(システム停止時間・インシデント認定基準) | 「部分停止」でもBI起動するか確認が必要 |
| 最大補償期間 | 最長何日間の収益損失を補償するか | 大規模病院は復旧に数か月かかる事例あり |
| 免責期間(待機期間) | インシデント発生後、何時間後から補償が始まるか | 短時間の停止では補償されない |
| 収益の算定方法 | 診療報酬・自費収入の扱い | 診療科ミックス・季節変動を考慮した設計が必要 |
| サプライチェーンBI | 取引先(ベンダー・クラウド基盤)の障害によるBI | 電子カルテSaaS事業者の障害で診療停止した場合 |
特に「サプライチェーンBI」(Contingent Business Interruption)は、自院のシステムではなく外部ベンダー(電子カルテSaaS・クラウド事業者)のインシデントによる診療停止を補償するものです。クラウド型電子カルテを採用している医療機関では、この補償の有無が重要な判断基準になります。
7. 保険料の相場と査定基準:医療機関の規模別目安
サイバー保険の保険料は、補償限度額・医療機関の規模・セキュリティ対策水準・過去のインシデント履歴などによって個別に査定されます。公開されている情報をもとに、一般的な目安を整理します。
7-1. 規模別・補償限度額別の保険料目安
| 医療機関の規模 | 補償限度額(目安) | 年間保険料(目安) | 備考 |
|---|---|---|---|
| 個人クリニック(従業員10名以下) | 1,000万〜3,000万円 | 年10万〜30万円程度 | セキュリティ対策水準・患者数で変動 |
| 中規模クリニック・診療所(10〜50名) | 3,000万〜1億円 | 年30万〜100万円程度 | 診療科・電子カルテ形態によって変動 |
| 中小病院(50〜200床) | 1億〜3億円 | 年100万〜500万円程度 | 個別リスク評価・セキュリティ審査あり |
| 大規模病院・医療法人グループ | 5億円以上 | 年500万円以上・個別設計 | マルチライン・グループ契約 |
上記はあくまで参考目安であり、実際の保険料は保険会社・代理店の査定によって異なります。近年の市況では、医療機関に対するリスク評価が厳しくなっており、セキュリティ対策の証明書類(MFA設定確認・EDR導入証明・バックアップ体制の文書)の提出を求められるケースが増えています。
7-2. 保険料を左右する主な査定項目
- 多要素認証(MFA)の導入状況:全アカウント(特に管理者・リモートアクセス)へのMFA適用は、保険料低減の最も効果的な要因の一つとされています。
- EDRの全端末への導入:EDR(Endpoint Detection and Response)の導入有無が保険料査定の重要項目となっています。
- バックアップ体制:オフラインまたはイミュータブルバックアップの有無・復元テストの実施状況。
- 過去3年間のインシデント履歴:重大なサイバーインシデント(ランサムウェア感染・大規模漏洩)の発生歴は保険料上昇または引受拒否の要因になります。
- ガイドライン準拠状況:3省2ガイドライン(厚労省「医療情報システムの安全管理に関するガイドライン」)への対応状況。
- 従業員のセキュリティ教育実施:定期的なフィッシング訓練・セキュリティ研修の実施証明。
7-3. 保険料を下げるための実践的な方法
保険料を下げるためには、加入前にセキュリティ対策の証明を整備することが有効です。保険会社が提供するサイバーセキュリティ事前アセスメント(スコアリングツール)を活用し、対策実施状況を可視化・文書化しておくと、査定担当者との交渉において有利になる場合があります。また、複数の保険会社に見積もりを依頼し(ブローカー・専門代理店経由が効果的)、条件を比較することも重要です。