2021年の徳島県つるぎ町立半田病院のランサムウェア被害(復旧まで約2か月・被害総額3億円超)、2022年の大阪急性期・総合医療センター停止事故、2024年の岡山県精神医療センター事案など、医療機関に対するサイバー攻撃は年々深刻化しています。独立行政法人情報処理推進機構(IPA)の報告では、ランサムウェアは「10大脅威 2026」でも組織向け第1位に位置づけられています。こうした状況を受け、医療機関にとって「サイバー保険」は、もはや選択肢ではなく、リスクマネジメントの基盤となりつつあります。
本記事では、医療機関向けサイバー保険の補償範囲・保険料相場・主要保険会社の比較・加入手順・よくある失敗事例を、各社公式公開情報と公的ガイドラインをもとに整理します。特定商品の推奨はおこなわず、専門代理店への相談を推奨します。
この記事で分かること
- 医療機関特有のサイバーリスクと被害規模の実態
- サイバー保険が補償する範囲(ランサムウェア・個人情報漏洩・事業中断)
- 主要保険会社(東京海上・損保ジャパン・三井住友海上・あいおいニッセイほか)の特徴比較
- 医療機関に多い失敗事例と加入前チェックポイント
- 保険料の目安・加入手順・専門代理店の活用方法
[PR]
1. 医療機関のサイバーリスク実態:なぜ今、保険が必要なのか
医療機関がサイバー攻撃のターゲットとして狙われやすい理由は複数あります。まず、電子カルテや患者情報は闇市場での価値が高く、金銭的動機の攻撃者にとって魅力的です。加えて、医療機関は「停止できないインフラ」であるため、ランサムウェアに感染した場合に身代金支払いに応じやすいという攻撃者目線の計算も働きます。さらに、多くの中小クリニックや中規模病院ではIT専任スタッフを置く余裕がなく、セキュリティ対策が後手に回りやすい実態があります。
1-1. 被害の深刻さ:数値で見る医療機関のサイバー被害
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月)は、医療機関のサイバーリスクを「組織として管理すべきリスク」と位置づけています。IPAの「情報セキュリティ10大脅威 2026(組織編)」でもランサムウェアが第1位となっており、医療分野は特に標的型攻撃の増加が顕著です。
国内事例では、つるぎ町立半田病院(2021年10月)のケースが象徴的です。電子カルテが約2か月使用不能となり、調査・復旧費用・業務停止損失を合わせた被害は3億円超と報告されています(同病院の調査報告書より)。その後も、大阪急性期・総合医療センター(2022年10月)では、ランサムウェアにより救急・手術を含む通常診療が2か月以上停止しました。2024年には岡山県精神医療センターの患者情報流出事案も発生し、医療機関に対するサイバー攻撃の頻度・規模ともに拡大傾向です。
1-2. 医療機関特有のリスク分類
| リスク分類 | 具体的な脅威 | 医療機関特有の影響 |
|---|---|---|
| ランサムウェア感染 | 電子カルテ・医療機器の暗号化・身代金要求 | 診療停止・手術延期・救急受入不能 |
| 個人情報漏洩 | 患者情報・診療記録の外部流出 | 個人情報保護法違反・損害賠償・報告義務 |
| フィッシング・メール詐欺 | 職員への標的型メール・マルウェア添付 | 内部システムへの不正アクセスの起点 |
| 内部不正・誤操作 | 職員による情報持ち出し・設定ミス | 患者情報の意図せぬ外部送信 |
| サプライチェーン攻撃 | ベンダー・委託先を経由した侵入 | 電子カルテベンダーや医療機器メーカー経由 |
| DDoS攻撃 | Webサイト・予約システムへの過負荷攻撃 | オンライン予約・患者向けポータルの停止 |
上記のリスクはそれぞれ独立して発生するだけでなく、複合的に連鎖するケースも多くあります。たとえば、フィッシングメールからマルウェアが侵入し、ランサムウェアが展開された後に個人情報が漏洩する、という多段階の被害は珍しくありません。
1-3. 規制・法的義務の強化
2022年改正個人情報保護法(全面施行2022年4月)では、個人情報の漏洩等が発生した場合の個人情報保護委員会への報告および本人通知が法的義務となりました。医療機関が保有する「要配慮個人情報」(病歴・診断情報)が漏洩した場合、軽微なケースでも報告が原則必要です。対応費用(法律相談・通知送付・コールセンター設置・調査委託)は数百万円から数千万円規模になる可能性があります。
さらに、厚生労働省が定める3省2ガイドラインへの準拠義務(医療情報システムの安全管理)は、保険料審査・補助金申請においても確認されるようになっており、ガイドライン対応と保険加入はセットで検討することが実務上の標準となっています。
2. サイバー保険の補償範囲:医療機関が確認すべき6項目
サイバー保険の補償内容は保険会社・プランによって大きく異なります。医療機関が加入を検討する際には、以下の6項目を基準に補償内容を精査することが重要です。
2-1. 補償項目の全体像
| 補償カテゴリ | 主な補償内容 | 医療機関での重要度 |
|---|---|---|
| 1. ランサムウェア・サイバー恐喝対応費用 | 対応費用・身代金交渉支援(支払い自体は対象外が多い)・フォレンジック調査 | ★★★★★ |
| 2. 個人情報漏洩対応費用 | 通知費用・コールセンター設置・クレジット監視サービス・行政対応 | ★★★★★ |
| 3. 事業中断(BI)補償 | 診療停止中の逸失収益・復旧費用・人件費 | ★★★★☆ |
| 4. 第三者賠償責任 | 患者・取引先への損害賠償・訴訟費用 | ★★★★☆ |
| 5. セキュリティ専門家費用 | インシデント対応・フォレンジック・広報危機対応 | ★★★☆☆ |
| 6. 規制対応・罰則金(一部) | 行政指導対応費用・課徴金補填(制限あり) | ★★★☆☆ |
2-2. 「補償される」と「補償されない」の境界線
サイバー保険は万能ではありません。医療機関が見落としがちな「補償対象外」の代表的なケースを以下に整理します。
- 身代金の支払い自体:多くの保険会社は身代金の実際の支払い額を補償対象としていません。補償されるのは「対応費用・調査費用・交渉支援費用」です。ただし近年、身代金を補償対象とする特約を設ける商品も一部登場しています(各社公式で確認が必要)。
- 既知の脆弱性が放置されていた場合:ガイドライン違反や明らかなセキュリティ対策の懈怠がある場合、免責となる可能性があります。
- 内部犯行(故意の場合):職員による故意の情報持ち出しは通常補償対象外です。ただし過失・誤操作は対象となるプランが多くあります。
- 戦争・テロ等(戦争免責):国家支援型サイバー攻撃(地政学的な背景を持つ攻撃)は戦争免責条項の解釈により補償されないケースがあります。保険約款の確認が必要です。
- 保険加入前のインシデント:加入前に発生した事案に起因する損害は対象外となります。
2-3. 補償限度額の設定目安
医療機関の規模・保有患者数によって必要な補償限度額は大きく異なります。一般的な目安は下表のとおりですが、個別の状況は専門の保険代理店に相談の上で設定することを推奨します。
| 医療機関の規模 | 補償限度額の目安 | 特に重視すべき補償 |
|---|---|---|
| 個人クリニック(1診療所) | 1,000万〜3,000万円程度 | 個人情報漏洩対応費・ランサム対応費 |
| 中規模クリニック(複数診療科) | 3,000万〜1億円程度 | 事業中断補償・第三者賠償 |
| 中小病院(50〜200床) | 1億〜5億円程度 | 全項目・特にBI補償と賠償責任 |
| 大規模病院・医療法人グループ | 5億円以上・個別設計 | グループ横断補償・規制対応 |
上記はあくまで参考目安です。保有患者数・年間診療収益・IT資産の規模・委託ベンダーとの契約内容を踏まえて、専門代理店と個別に算出することが不可欠です。
3. 主要保険会社のサイバー保険比較【2026年版】
国内の主要損害保険会社が提供するサイバー保険(または特約)の特徴を、各社の公式サイト・公開資料をもとに整理します(2026年5月時点)。保険料・補償内容は契約条件によって変わるため、漏れなく専門代理店を通じて最新の見積もりを取得してください。
3-1. 主要保険会社の特徴一覧
| 保険会社 | 商品名(例) | 特徴・医療機関での評価ポイント | 問い合わせ |
|---|---|---|---|
| 東京海上日動火災保険 | サイバーリスク保険 | 国内最大手。サイバーインシデント対応サービス(TOKIO Marine Cyber Support)と組み合わせ可。医療機関向け実績多数と公式で明記。補償メニューが豊富で大規模医療法人にも対応。 | 代理店経由 |
| 損害保険ジャパン(SOMPOホールディングス) | サイバー保険/SOMPOサイバーセキュリティ | SOMPOグループのセキュリティ子会社と連携したインシデント対応支援を提供。事業中断補償(BI)の設計に強みを持つとされる。 | 代理店経由 |
| 三井住友海上火災保険 | MSサイバー保険 | 中小企業・クリニック向けに比較的シンプルな構成のプランあり。M&A後の保険移管にも対応実績。 | 代理店経由 |
| あいおいニッセイ同和損害保険 | サイバー総合保険 | トヨタグループ系。中小・中堅規模の医療機関にも柔軟な補償設計が可能と公式に案内。テレマティクス連携の実績あり。 | 代理店経由 |
| AIG損害保険(チューリッヒ) | CyberEdge | 外資系で世界的なサイバー保険シェア。グローバル展開する医療法人・外資系病院に実績。身代金関連費用の補償範囲が比較的広い商品設計で知られる(約款要確認)。 | 代理店経由 |
| 日本生命・明治安田生命ほか(生保各社) | 企業向けサイバー特約 | 損保の主商品に対し、生保の特約として付帯できるケースも増加。医療法人の団体契約で選択肢になる場合あり。 | 代理店経由 |
上記は各社の公式公開情報(公式ウェブサイト・プレスリリース)を参照した概要であり、特定商品の優劣を評価・推奨するものではありません。医療機関の状況に最適な保険は、個別の診療規模・保有データ量・既存のセキュリティ対策水準・予算によって異なります。
3-2. 国内外の再保険市場と保険料動向(2025〜2026年)
損害保険料率算出機構(NLIRO)および日本損害保険協会(SONPO)の公開情報によると、サイバー保険の引受市場は2021〜2023年に保険料が大幅に上昇した後、2024〜2025年にかけて一部で安定化・軟化の兆候が見られています。ただし医療機関向けは引き続き、リスク評価が厳格なセグメントとされており、セキュリティ対策の水準(ガイドライン準拠・MFAの導入・EDRの有無)が保険料査定に直結します。
保険料を下げるためには、事前にサイバーセキュリティ評価ツール(保険会社が提供するセキュリティチェックシートへの回答)で高評価を得ることが有効です。また、複数年契約・複数拠点のグループ一括契約では割引が適用される場合があります。
4. ランサムウェア対応:サイバー保険でカバーできること・できないこと
医療機関がサイバー保険に加入する最大の動機の一つが「ランサムウェア被害への備え」です。しかし、保険でカバーされる範囲と、そうでない範囲を正確に理解していないと、被害発生後に「想定と違う」という状況になりかねません。
4-1. ランサムウェア対応で保険が役立つ場面
- フォレンジック調査費用:どこから侵入されたか・何が暗号化・流出されたかを専門会社が調査する費用。一般に数百万〜数千万円規模になります。
- インシデント対応支援:保険会社が契約するセキュリティ専門会社(CSIRT・フォレンジック業者)の派遣・連絡調整費用。
- 危機管理・広報費用:患者・マスメディアへの対応に必要な危機広報コンサルタント費用。
- システム復旧費用:暗号化されたデータ・システムの復旧に要するITベンダー費用(バックアップ復元・再設定)。
- 事業中断中の損失補填(BI補償):診療停止期間中の収益減少分を補償するプランがある商品もあります(補償期間・補償上限に注意)。
4-2. ランサムウェアで保険が直接カバーしないケース
- 身代金の実支払い額:多くの保険商品では、攻撃者への身代金支払いそのものは補償対象外です。身代金を支払うかどうかは法律・倫理・実効性の観点から専門家(弁護士・セキュリティ専門家)と慎重に判断すべき問題であり、保険の補償設計とは別軸です。
- 信用失墜・ブランド毀損:患者離れや社会的評判の低下は定量化・補償が困難なため、通常は補償対象外です。
- 予防投資・セキュリティ強化費用:保険は事後補償が原則であり、事前のセキュリティ対策費(EDR導入・従業員教育等)は補償されません。
- 既存のシステム老朽化に起因する損失:攻撃以前から存在していた問題による損害は対象外となる場合があります。
4-3. 保険加入と並行して実施すべきランサムウェア対策
IPA「サイバーセキュリティ経営ガイドライン Ver3.0」(経済産業省・IPA、2023年3月公表)では、サイバー保険の加入を「リスクの移転」手段として位置づけており、「リスクの低減」(技術的・組織的対策)と組み合わせることを強調しています。保険加入だけで安全性が確保されるわけではありません。
- 3-2-1バックアップルール(3か所・2種類・1か所オフサイト)の実施
- イミュータブル(書き換え不可)バックアップの導入
- EDR(Endpoint Detection and Response)の全端末導入
- 多要素認証(MFA)の全アカウントへの適用
- 定期的なインシデント対応訓練(机上演習)の実施
- サプライチェーンリスク管理(ベンダー契約書の確認)
これらの対策を実施していることが、保険料の査定(ディスカウント)にも好影響をもたらす場合があります。保険会社によっては、EDR導入・MFA適用・バックアップ体制の確認書類を加入条件や保険料算定の根拠として求めるケースもあります。
5. 個人情報漏洩補償:医療機関特有のリスクと対応費用
医療機関は「要配慮個人情報」の最大の保有主体の一つです。病歴・診断情報・処方内容・保険情報など、万が一の漏洩は患者への深刻なプライバシー侵害につながります。個人情報保護法の2022年改正以降、漏洩発生時の対応義務・費用は大幅に拡大しています。
5-1. 個人情報漏洩が発生した場合の法的義務
| 対応項目 | 根拠法令 | 概要 | 期限目安 |
|---|---|---|---|
| 個人情報保護委員会への速報 | 改正個人情報保護法第26条 | 1,000件以上または要配慮個人情報の漏洩等は原則報告義務 | 速やかに(概ね3〜5日以内が実務上の目安) |
| 個人情報保護委員会への確報 | 同上 | 詳細な報告書(漏洩規模・原因・再発防止策等) | 30日以内(不正アクセスは60日以内) |
| 本人への通知 | 同上 | 漏洩した本人への通知(困難な場合は公表) | 速やかに |
| 都道府県・厚生労働省への報告 | 医療法・個人情報保護委員会ガイダンス | 医療機関としての行政報告 | 発覚後速やかに |
5-2. 対応費用の内訳と保険の役割
個人情報漏洩事案が発生した場合、医療機関が実際に負担する費用項目は広範にわたります。一般的な費用項目を以下に整理します(実際の費用は規模・対象件数・対応内容によって大きく異なります)。
- フォレンジック調査費用:漏洩経路・流出範囲の特定。専門業者への委託費は数百万〜数千万円が目安とされています。
- 本人通知費用:郵便・書留による通知送付。対象件数が多い場合、通知費だけで数百万円規模になります。
- コールセンター設置費用:患者からの問い合わせ対応窓口。設置・運営費用が月数十万〜数百万円規模になるケースがあります。
- クレジット監視・IDモニタリングサービス:患者への補償として提供する場合のサービス費。
- 弁護士費用:法的リスクの評価・対応方針の策定・行政対応。
- 危機広報費用:マスメディア・患者・地域への説明対応。
- 損害賠償:患者からの訴訟・示談交渉に伴う賠償額および訴訟費用。
これらの費用の多くは、サイバー保険の「個人情報漏洩対応費用」および「第三者賠償責任」補償でカバーが可能です。ただし、補償限度額・免責金額・補償範囲の細部は保険約款を精読する必要があります。
5-3. 要配慮個人情報の特殊性
患者の病歴・精神科受診歴・感染症情報などの「要配慮個人情報」は、その性質上、一般の個人情報よりも厳重な保護が求められます。漏洩した場合の社会的影響・患者への精神的損害が大きく、損害賠償請求の金額が高額になる傾向があります。保険加入時には、要配慮個人情報の件数・保存方法をあらかじめ保険会社に正確に申告することが重要です。申告漏れは、いざという時に補償が受けられないリスクにつながります。
6. 事業中断(BI)補償:診療収益ダウンにどう備えるか
ランサムウェアや重大なシステム障害で診療が停止した場合、最も大きな経済的ダメージをもたらすのが「収益の喪失」です。事業中断(Business Interruption、BI)補償は、この診療停止期間中の収益減少分を補填するものです。
6-1. BI補償の仕組みと算定方法
サイバー保険におけるBI補償は、一般的に以下の形式で設計されています。
- 補償対象期間(インデムニティ期間):インシデント発生日から、システムが復旧するまでの期間。ただし「最大補償期間」(例:90日・180日・365日)の設定があります。
- 免責期間(待機期間):一般に8〜24時間程度の免責期間が設定されており、この期間内の損失は補償されません。
- 収益補償の算定:通常は過去12か月の平均月次収益を基準に、停止期間分を算定します。
- 追加費用(Extra Expense):復旧を早めるために追加で要した費用(代替システム・臨時スタッフ)も補償対象に含まれるプランがあります。
6-2. 医療機関のBI補償設計で注意すべき点
| チェック項目 | 内容 | 医療機関への影響 |
|---|---|---|
| 補償トリガー条件 | どの条件でBIが起動するか(システム停止時間・インシデント認定基準) | 「部分停止」でもBI起動するか確認が必要 |
| 最大補償期間 | 最長何日間の収益損失を補償するか | 大規模病院は復旧に数か月かかる事例あり |
| 免責期間(待機期間) | インシデント発生後、何時間後から補償が始まるか | 短時間の停止では補償されない |
| 収益の算定方法 | 診療報酬・自費収入の扱い | 診療科ミックス・季節変動を考慮した設計が必要 |
| サプライチェーンBI | 取引先(ベンダー・クラウド基盤)の障害によるBI | 電子カルテSaaS事業者の障害で診療停止した場合 |
特に「サプライチェーンBI」(Contingent Business Interruption)は、自院のシステムではなく外部ベンダー(電子カルテSaaS・クラウド事業者)のインシデントによる診療停止を補償するものです。クラウド型電子カルテを採用している医療機関では、この補償の有無が重要な判断基準になります。
7. 保険料の相場と査定基準:医療機関の規模別目安
サイバー保険の保険料は、補償限度額・医療機関の規模・セキュリティ対策水準・過去のインシデント履歴などによって個別に査定されます。公開されている情報をもとに、一般的な目安を整理します。
7-1. 規模別・補償限度額別の保険料目安
| 医療機関の規模 | 補償限度額(目安) | 年間保険料(目安) | 備考 |
|---|---|---|---|
| 個人クリニック(従業員10名以下) | 1,000万〜3,000万円 | 年10万〜30万円程度 | セキュリティ対策水準・患者数で変動 |
| 中規模クリニック・診療所(10〜50名) | 3,000万〜1億円 | 年30万〜100万円程度 | 診療科・電子カルテ形態によって変動 |
| 中小病院(50〜200床) | 1億〜3億円 | 年100万〜500万円程度 | 個別リスク評価・セキュリティ審査あり |
| 大規模病院・医療法人グループ | 5億円以上 | 年500万円以上・個別設計 | マルチライン・グループ契約 |
上記はあくまで参考目安であり、実際の保険料は保険会社・代理店の査定によって異なります。近年の市況では、医療機関に対するリスク評価が厳しくなっており、セキュリティ対策の証明書類(MFA設定確認・EDR導入証明・バックアップ体制の文書)の提出を求められるケースが増えています。
7-2. 保険料を左右する主な査定項目
- 多要素認証(MFA)の導入状況:全アカウント(特に管理者・リモートアクセス)へのMFA適用は、保険料低減の最も効果的な要因の一つとされています。
- EDRの全端末への導入:EDR(Endpoint Detection and Response)の導入有無が保険料査定の重要項目となっています。
- バックアップ体制:オフラインまたはイミュータブルバックアップの有無・復元テストの実施状況。
- 過去3年間のインシデント履歴:重大なサイバーインシデント(ランサムウェア感染・大規模漏洩)の発生歴は保険料上昇または引受拒否の要因になります。
- ガイドライン準拠状況:3省2ガイドライン(厚労省「医療情報システムの安全管理に関するガイドライン」)への対応状況。
- 従業員のセキュリティ教育実施:定期的なフィッシング訓練・セキュリティ研修の実施証明。
7-3. 保険料を下げるための実践的な方法
保険料を下げるためには、加入前にセキュリティ対策の証明を整備することが有効です。保険会社が提供するサイバーセキュリティ事前アセスメント(スコアリングツール)を活用し、対策実施状況を可視化・文書化しておくと、査定担当者との交渉において有利になる場合があります。また、複数の保険会社に見積もりを依頼し(ブローカー・専門代理店経由が効果的)、条件を比較することも重要です。
8. 加入手順:申し込みから補償開始までのステップ
サイバー保険への加入は、一般的な損害保険と手続きの流れが異なります。セキュリティ評価・告知書の記入など、医療機関として事前に準備すべき事項があります。
8-1. 加入ステップの全体像
| ステップ | 内容 | 所要期間の目安 |
|---|---|---|
| 1. 専門代理店への相談 | 医療機関向けサイバー保険を扱う専門代理店を探す・ニーズのヒアリング | 1〜2週間 |
| 2. リスク評価・セキュリティアセスメント | 保険会社が提供するチェックシートへの回答・現状の対策水準の確認 | 1〜2週間 |
| 3. 告知書の記入・提出 | 医療機関の規模・患者数・保有データ量・過去インシデント履歴等を申告 | 1〜2週間 |
| 4. 保険料見積もり・条件交渉 | 複数社の見積もりを取得・補償内容と保険料を比較検討 | 1〜3週間 |
| 5. 契約・保険料支払い | 約款の確認・署名・初回保険料の支払い | 1週間 |
| 6. 補償開始・証券受取 | 補償開始日の確認・保険証券の保管・緊急連絡先の確認 | 即日〜数日 |
8-2. 告知義務・重要告知事項の確認
保険契約において告知義務は最重要事項です。告知内容に虚偽または重大な不告知があった場合、保険金が支払われない(告知義務違反による契約解除)リスクがあります。医療機関として特に注意すべき告知事項を以下に示します。
- 過去のサイバーインシデント発生の有無(ランサムウェア感染・不正アクセス・情報漏洩)
- 患者情報の保有件数(概数で可)
- 電子カルテ・医療情報システムの形態(オンプレ/クラウド)
- 外部ネットワーク接続の状況(インターネット接続の有無・VPN利用の有無)
- セキュリティ対策の実施状況(MFA・EDR・定期バックアップ)
- 委託ベンダー・サードパーティとの契約状況(個人情報処理委託)
8-3. 加入後の維持管理
サイバー保険は加入して終わりではありません。以下の維持管理を継続することで、補償の実効性と継続更新時の条件を良好に保つことができます。
- 年次見直し:医療機関の規模・保有患者数・システム構成が変わった場合には補償内容を見直す。
- インシデント発生時の速やかな通知:インシデントを認知した場合、保険約款の通知期限内に保険会社・代理店に連絡する。通知遅延は補償拒絶の原因になります。
- 緊急連絡先の全員共有:インシデント発生時に迷わず動けるよう、保険会社・代理店・フォレンジック会社の緊急連絡先を関係者全員で共有しておく。
- セキュリティ対策の継続:保険料査定の根拠となった対策(MFA・EDR等)を更新・継続する。廃止した場合には速やかに保険会社に告知が必要な場合があります。
9. 医療機関に多いサイバー保険の失敗事例
医療機関がサイバー保険の加入・運用で陥りがちな典型的な失敗事例を整理します。いずれも「加入したのに保険金が下りなかった」「補償が不足していた」というケースに集約されます。
9-1. よくある失敗パターン
| 失敗パターン | 具体的な状況 | 対策 |
|---|---|---|
| 告知義務違反 | 「以前、ウイルスに感染したが軽微だったので告知しなかった」→契約解除・保険金不支払い | 過去のインシデントは軽微なものも含め漏れなく告知 |
| 補償限度額の過少設定 | 「1,000万円で十分と思ったが、フォレンジック費用だけで超えた」 | フォレンジック費用の相場(数百万〜数千万円)を踏まえて設定 |
| BI補償なし | 「ランサムウェアで3週間診療停止したが、収益補償がなかった」 | BI補償(事業中断)の有無と補償期間を事前確認 |
| 通知の遅延 | 「インシデントを認知してから1週間後に保険会社に連絡したため、約款の通知期限を超えていた」 | インシデント発生時の通知手順を事前に院内で確立 |
| 戦争免責の誤解 | 「国家支援型攻撃と判断されて補償を拒絶された」 | 約款の戦争免責条項を確認。疑問点は代理店に事前確認 |
| サプライチェーン被害の補償漏れ | 「電子カルテベンダーが攻撃を受けて診療停止したが、自社の保険が適用されなかった」 | サプライチェーンBI(Contingent BI)補償の有無を確認 |
| 更新時の補償劣化 | 「更新時に保険料を下げようと補償を削ったが、その年にインシデントが発生」 | 更新時も補償内容を維持・拡充する方向で検討 |
9-2. 保険選定で避けるべき誤解
「サイバー保険に入っていれば安心」という誤解が最も危険です。サイバー保険は「リスクファイナンス(事後補填)」のツールであり、「リスク低減(予防・対策)」の代替にはなりません。保険と技術的対策(ガイドライン準拠・EDR・バックアップ)は、車の両輪として並行して実施することが必要です。
また、「医師・看護師の採用保険」「医療機器の保険」などとは異なり、サイバー保険は補償内容が複雑で比較が難しい商品です。一般の損害保険代理店ではなく、サイバーリスク・医療機関に精通した専門代理店またはブローカーに相談することを強く推奨します。
10. よくある質問(FAQ)
Q1. 小さなクリニックにもサイバー保険は必要ですか?
個人クリニックであっても、患者情報(氏名・住所・病歴・保険番号)を電子的に保有している場合は、サイバー攻撃の対象になります。ランサムウェアは無差別に感染を広げるタイプも多く、大病院だけが狙われるわけではありません。小規模クリニック向けには年間10万〜30万円程度で加入できる商品もあるため、まず専門代理店に相談することをおすすめします。
Q2. サイバー保険は単独で加入するものですか?それとも既存の保険に特約として付けられますか?
両方あります。独立したサイバー保険商品として加入する方法と、施設賠償保険や医師賠償保険の特約としてサイバー補償を付帯する方法があります。特約型はコストを抑えられる半面、補償範囲が単独商品よりも限定される場合があります。必要な補償項目(特にBI補償・フォレンジック費用・個人情報漏洩対応)をベースに、単独か特約かを判断することが重要です。
Q3. 保険に加入していれば、厚生労働省のガイドライン対応は不要ですか?
不要にはなりません。厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」への対応は医療機関としての法的・倫理的義務であり、保険加入とは別軸です。むしろ、ガイドライン対応が不十分な場合、保険料が高くなる・加入を断られるケースもあります。保険とガイドライン対応は並行して進めることが基本です。
Q4. 身代金は保険で支払われますか?
多くの保険商品では、身代金そのものの支払いは補償対象外です。補償されるのは対応費用(フォレンジック・交渉支援・復旧費)です。ただし、一部の商品では身代金関連費用を補償対象とする特約を設けているケースもあります。約款を精読し、不明点は代理店に確認してください。
Q5. 電子カルテをクラウド型で利用しています。自院の保険でベンダー障害もカバーできますか?
標準的なサイバー保険では、自社のシステムに起因するインシデントが対象です。ベンダー(クラウド電子カルテ事業者)のインシデントによる診療停止は「サプライチェーンBI(Contingent BI)」として別途補償する商品があります。クラウド型カルテを利用している場合は、このサプライチェーンBI補償の有無を加入時に確認することが重要です。
Q6. 過去にランサムウェア被害を受けたことがあります。加入できますか?
加入が難しくなるケースはあります。ただし、過去の被害後に適切なセキュリティ対策を実施・文書化し、再発防止策が整っている場合は、条件付きで引受可能な保険会社もあります。過去の被害歴がある場合は、特に専門の保険ブローカーに相談することをおすすめします。自己判断で「軽微だったから告知しなくていい」と判断するのは告知義務違反になる可能性があり、危険です。
Q7. 保険申請のタイミングはいつが正しいですか?
インシデントを認知した時点で、できる限り速やかに保険会社・代理店に連絡することが原則です。約款には「通知期限」が設けられており、この期限を超えると補償が制限される場合があります。インシデント発生時の初動フローとして、「保険会社への通知」を緊急連絡手順に明記しておくことを推奨します。
Q8. 保険料は経費として計上できますか?
一般的に、事業遂行上のリスク管理目的で支払うサイバー保険料は損金(経費)として計上できると解されていますが、個別の税務処理については漏れなく顧問税理士または税務署に確認してください。本記事は税務アドバイスを提供するものではありません。
Q9. 複数の保険会社から見積もりを取るにはどうすればよいですか?
複数社の比較には、サイバー保険に精通した独立系保険ブローカーや、医療機関向けを専門とする代理店を活用することが効果的です。各社への個別申し込みは手間がかかり、比較も困難です。ブローカーは複数社の商品を横断的に比較・提案できるため、時間と手間を大幅に節約できます。医師会・病院団体・医療機器メーカー経由の代理店紹介を利用するのも一つの方法です。
Q10. 保険以外で医療機関が取れる最重要のサイバー対策は何ですか?
IPA「サイバーセキュリティ経営ガイドライン」では、経営者自身がサイバーセキュリティを経営課題として認識し、投資・体制整備を指揮することを最重要課題としています。技術的には、(1)MFA(多要素認証)の全アカウント導入、(2)EDRの全端末導入、(3)オフライン・イミュータブルバックアップ、(4)定期的な訓練・教育の4点が優先度の高い対策として挙げられています。保険加入はこれらの対策と組み合わせて機能するものです。
11. まとめ:医療機関のサイバー保険選びで押さえる5つのポイント
本記事で解説した内容を踏まえ、医療機関がサイバー保険を選ぶ際の最重要ポイントを5点に絞って整理します。
- ポイント1:補償6項目を漏れなく確認する — ランサムウェア対応費・個人情報漏洩対応費・事業中断補償(BI)・第三者賠償責任・セキュリティ専門家費用・規制対応費の6項目が揃っているか確認してください。特にBI補償とサプライチェーンBI補償は見落としがちです。
- ポイント2:補償限度額は「フォレンジック費用+BI損失」で逆算する — 中小病院でも、フォレンジック調査・通知費用・コールセンター・収益損失を合算すると数千万円規模になります。「安い保険料」に惹かれて限度額を過少設定しないよう注意してください。
- ポイント3:告知義務は軽微な過去事案も含め漏れなく対応する — 軽微なウイルス感染・不審メールの開封も、関連するインシデントとして告知漏れがないよう確認してください。告知義務違反は保険金不支払いの最大原因です。
- ポイント4:専門代理店・ブローカーを活用する — サイバー保険は専門性が高く、一般の損保代理店では対応が難しいケースがあります。医療機関・サイバーリスクに精通した専門代理店またはブローカーに相談することを強く推奨します。
- ポイント5:保険+技術対策の両輪で備える — 保険は事後補填のツールです。3省2ガイドライン準拠・MFA・EDR・バックアップ体制の整備と組み合わせて初めて実効性を持ちます。セキュリティ対策水準の向上は保険料低減にもつながります。
サイバー保険の選定・契約においては、本記事の情報をあくまで参考情報としてご活用いただき、最終的な判断は漏れなく専門の保険代理店・ブローカー、および法律・セキュリティの専門家に相談のうえでおこなってください。
[PR]
出典・参考情報
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月、2024年改定)https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html(参照:2026-05-07)
- 独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2026」https://www.ipa.go.jp/security/10threats/2026.html(参照:2026-05-07)
- 経済産業省・独立行政法人情報処理推進機構(IPA)「サイバーセキュリティ経営ガイドライン Ver3.0」(2023年3月)https://www.meti.go.jp/policy/netsecurity/mng_guide.html(参照:2026-05-07)
- 日本損害保険協会(SONPO)「サイバー保険の概要」公式ページ https://www.sonpo.or.jp/(参照:2026-05-07)
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(令和4年改正版)https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/(参照:2026-05-07)
- つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書」(2022年1月)https://www.town.tsurugi.tokushima.jp/soshiki/30/4045.html(参照:2026-05-07)
免責事項
本記事は医療機関向けサイバー保険に関する一般的な情報提供を目的としており、特定の保険商品の推奨・購入勧誘をおこなうものではありません。保険の加入・変更に際しては、漏れなく専門の保険代理店・ブローカーおよび法律・セキュリティの専門家に個別相談のうえで判断してください。掲載情報は2026年5月時点の公開情報に基づいており、法令・保険商品の内容は変更される場合があります。最新情報は各保険会社・行政機関の公式サイトでご確認ください。
編集方針
本記事はmitoru編集部が公開情報(厚生労働省・金融庁・IPA・各保険会社公式サイト)を整理・編集したものです。特定商品・事業者への利益誘導はおこなわず、中立的な立場で情報を提供します。誤りのご指摘・最新情報の提供は 編集方針ページ よりご連絡ください。最終更新日:2026-05-07
関連記事
- 医療機関のサイバーセキュリティ対策ガイド【2026年版】
- 医療機関向けVPN・バックアップサービス比較【2026年版】
- 医療機関のセキュリティインフラ:クラウド vs オンプレ費用比較【2026年版】
- 医療機関のセキュリティインフラ よくある質問(FAQ)【2026年版】
mitoru編集部の見解
医療情報セキュリティは、医療情報システム安全管理ガイドライン6.0版(厚労省)と医療情報を取り扱う情報システム・サービス提供事業者ガイドライン(経産省・総務省)の3省2ガイドライン準拠が出発点です。ランサムウェア対策はバックアップ・多要素認証・ネットワーク分離の3点セットを最低限満たしてください。