医療機関に対するランサムウェア攻撃や電子カルテシステム停止事故が相次ぐ中、3省2ガイドライン(厚労省「医療情報システムの安全管理に関するガイドライン 第6.0版」、経産省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」)への準拠が必須となっています。本記事では、中小医療機関の情シス担当・院長向けに、医療VPNとバックアップサービスの選び方を、各サービス事業者の公式公開情報をもとに整理します。
この記事で分かること
- 3省2ガイドラインが求める「ネットワーク」「バックアップ」要件の概要
- 医療機関向けVPN・閉域網サービスの比較
- 電子カルテバックアップサービスの選び方とRTO/RPO設計
- ランサムウェア対策(イミュータブルバックアップ・3-2-1ルール)
- 規模別・形態別の推奨構成と費用感
1. 3省2ガイドラインが求めるネットワーク・バックアップ要件
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月公表、2024年改定)は、医療機関に対し、医療情報システムの安全管理として、ネットワーク経路の安全性確保、バックアップ取得、サイバー攻撃への備えを明確に求めています。経済産業省・総務省の「情報システム・サービスの提供事業者向けガイドライン」と合わせて「3省2ガイドライン」と呼ばれます。
1-1. ネットワーク経路の安全性確保
- 外部ネットワーク接続には、VPN・専用線・閉域網のいずれかで暗号化された経路を使用
- 機器認証・利用者認証の二要素以上を求める
- 不要なポート・サービスを停止し、ファイアウォールで制限
- 外部接続点を可能な限り絞り込み、ログを記録・保全
1-2. バックアップ取得の要件
- 診療継続に必要なデータを定期的にバックアップ
- バックアップ媒体は本体システムから論理的・物理的に分離
- ランサムウェア対策として、書き換え不可(イミュータブル)またはオフラインバックアップを推奨
- 復元手順を文書化し、定期的に復元訓練を実施
2021年の徳島県つるぎ町立半田病院、2022年の大阪急性期・総合医療センター、2024年の岡山県精神医療センターなど、医療機関のランサムウェア被害事例では、バックアップが暗号化された/復元できなかった点が共通の問題となりました。これを受けて、ガイドラインの「論理的・物理的な分離」「書き換え不可媒体の使用」が強調されています。
[PR]
2. 医療機関向けVPN・閉域網サービスの比較
医療機関がオンライン資格確認、電子処方箋、レセプトオンライン請求、リモート読影、訪問看護記録同期などで使う代表的な閉域網・VPNサービスを比較します(2026年5月時点・各社公式公開情報)。
| サービス | 提供元 | 特徴 | 主な用途 |
|---|---|---|---|
| 医療機関等向け閉域ネットワーク(オン資ネットワーク) | 支払基金・国保中央会 | オンライン資格確認・レセプト請求の標準経路 | オン資・レセプト・電子処方箋 |
| NTT東日本/西日本「医療機関向けVPN」 | NTT東日本/西日本 | フレッツ光と組み合わせた閉域接続 | オン資・電子カルテ拠点間連携 |
| NTTコミュニケーションズ「Arcstar Universal One」 | NTTコミュニケーションズ | 大規模医療法人向けの閉域網 | 多施設病院グループの本部統合 |
| KDDI「KDDI Wide Area Virtual Switch 2」 | KDDI | クラウド型閉域網。冗長化容易 | 中規模以上の医療機関 |
| ソフトバンク「ホワイトクラウド ホスピタル」 | ソフトバンク | 医療ICT専用クラウド | 電子カルテクラウド利用施設 |
| Cloudbric VPN / Soliton SecureBrowser など | 各社 | SDP/ZTNA型のリモートアクセス | 在宅勤務医・遠隔読影医 |
| FortiGate / SonicWall / Yamaha RTX シリーズ | Fortinet, SonicWall, ヤマハ | 院内設置型UTM+IPsec/SSL VPN | クリニック〜中規模病院の自前構築 |
選定の決め手は次の3点です。
- 用途:オン資・レセ請求の標準経路は支払基金・NTT 系で確定。それ以外の拠点間VPNや在宅勤務医アクセスは別経路
- 規模:1拠点クリニックは UTM 自前構築で十分、複数拠点医療法人は閉域網サービス
- 運用体制:自前運用が難しい場合はマネージドVPNサービス・ベンダー保守付きを選ぶ
3. 医療機関向けバックアップサービスの比較
電子カルテ・レセコン・各種SaaSのデータをバックアップする代表的なサービスを比較します。3省2ガイドライン準拠を明示するサービスは限られますが、医療機関導入実績・技術的要件への適合度で判断します。
| サービス | 提供元 | 強み | イミュータブル対応 |
|---|---|---|---|
| Acronis Cyber Protect Cloud | Acronis | バックアップ+アンチランサムウェアの統合製品 | ○ Acronis Active Protection |
| Veeam Backup & Replication | Veeam | 仮想環境バックアップの標準 | ○ Hardened Repository |
| Arcserve UDP | Arcserve | 物理・仮想・クラウド統合バックアップ | ○ クラウド側でWORM対応 |
| AWS Backup / Snowball | Amazon Web Services | パブリッククラウド側にコピー保存 | ○ S3 Object Lock |
| Wasabi Cloud Storage | Wasabi Technologies | S3互換オブジェクトストレージ。料金低廉 | ○ Object Lock 対応 |
| NETJAPAN ActiveImage Protector | NETJAPAN | 国産・医療機関導入実績 | ○ Linked Storage 対応 |
| キヤノンITソリューションズ「ESET PROTECT」 | キヤノンITS | ランサムウェア対策と統合管理 | —(バックアップは別ツール) |
4. RTO・RPOで決めるバックアップ設計
バックアップ設計は「どれだけ早く復旧したいか(RTO: Recovery Time Objective)」「どれだけ過去まで戻れれば良いか(RPO: Recovery Point Objective)」で決まります。医療機関の標準的な目標値の参考例は次の通りです。
| 業態 | 診療継続要請度 | RTO目安 | RPO目安 |
|---|---|---|---|
| 救急対応病院・地域中核病院 | 非常に高い | 2〜4時間 | 15分〜1時間 |
| 一般急性期病院(100床以上) | 高い | 4〜12時間 | 1〜4時間 |
| 有床診療所・療養型病床 | 中程度 | 12〜24時間 | 4〜24時間 |
| 無床クリニック(一般診療) | 中程度 | 1営業日 | 24時間 |
| 歯科クリニック・自由診療 | 低〜中 | 1〜2営業日 | 24時間 |
| 訪問看護ステーション | 中程度 | 1営業日 | 4〜24時間 |
| 介護老人保健施設 | 中程度 | 1営業日 | 24時間 |
RTO/RPOが厳しいほどコストは上がります。中規模病院でRTO 4時間・RPO 1時間を実現するには、レプリケーション+仮想スタンバイ+オフラインバックアップの三層構成が標準です。
5. ランサムウェア対策:3-2-1ルールとイミュータブル
米国NIST(国立標準技術研究所)と日本のJPCERT/CCが推奨する「3-2-1ルール」は、医療機関でも標準的なバックアップ戦略です。
- 3:データのコピーを少なくとも3つ保有(本番+バックアップ2世代以上)
- 2:2種類の異なるメディアに保存(HDD+テープ、ローカル+クラウドなど)
- 1:そのうち1つは物理的にオフサイト(遠隔地・クラウド)に保管
これに加えて2020年代の標準として「3-2-1-1-0ルール」が広がっており、最後の「1」はイミュータブルまたはオフラインのコピー1つ、「0」はバックアップの検証エラー0件を意味します。イミュータブルバックアップは、保護期間内は管理者権限でも上書き・削除できないため、ランサムウェアによる暗号化を防げます。
6. 規模別・業態別の推奨構成
| 業態 | VPN/ネットワーク | バックアップ構成 | 月額目安 |
|---|---|---|---|
| 無床クリニック(1拠点) | FortiGate 40F + IPsec VPN | NAS + クラウド S3 (Wasabi) | VPN 5,000円+BU 3,000円 |
| 歯科クリニック | Yamaha RTX1300 + SSL VPN | 外付HDD週次 + クラウド | VPN 3,000円+BU 2,000円 |
| 有床診療所(19床) | FortiGate 60F + 閉域網(オン資) | Veeam + Wasabi | VPN 15,000円+BU 15,000円 |
| 中小病院(50〜100床) | NTT医療向けVPN + 院内UTM | Acronis + Hardened Repository | VPN 50,000円〜+BU 50,000円〜 |
| 中規模病院(100〜300床) | KDDI/NTTコム閉域網(複数拠点) | Veeam + AWS S3 Object Lock | VPN 200,000円〜+BU 100,000円〜 |
| 訪問看護ステーション | SaaS提供のSSL VPN | SaaS事業者標準+自施設はクラウドBU | BU 5,000〜10,000円 |
料金は2026年5月時点の公式公開情報の参考レンジです。回線品質・VPNセッション数・バックアップ容量で大きく変動するため、必ず各社公式サイトで最新の見積をご確認ください。
7. 失敗事例と回避策
事例1:バックアップが本番系と同セグメントで一斉暗号化
院内NASにバックアップを取っていたが、ランサムウェア感染時に本番システムと同時に暗号化されて復旧不能。回避策はバックアップ先のネットワーク分離(別VLAN・別物理NAS)と、最低週1回のオフライン媒体への退避です。
事例2:復元手順が文書化されておらず復旧に1週間
システム導入時のSE個人の知見に依存しており、退職後に復元手順が不明確に。実際の障害時に復旧テストを始める段階で詰まり、診療停止が長期化。回避策は復旧手順書の整備と、年1回の復旧訓練の実施です。
事例3:VPN設定の機器認証が甘くSSL VPNを足掛かりに侵入
SSL VPNのIDパスワード認証のみで多要素認証が無く、流出した認証情報で侵入。回避策はVPN接続に多要素認証(MFA)を必須化することです。FortiTokenやスマホ認証アプリを併用します。
事例4:ベンダー任せのバックアップ運用で世代管理が機能不全
電子カルテベンダーがバックアップを取っていると思っていたが、契約上は標準サポート外で実態は1世代上書き。マルウェア感染時には既に汚染データで上書き済み。回避策は契約書のSLAと運用報告を毎月確認し、独自に追加バックアップを取ることです。
事例5:オン資ネットワーク経路を一般インターネットに混在させて監査指摘
オンライン資格確認の経路を独立させず、診療所内の一般インターネット経由で接続。監査で指摘を受け、再構築。回避策は支払基金が指定する閉域接続要件を遵守し、独立した経路で構築することです。
8. よくある質問(FAQ)
Q1. クリニックでも閉域網は必要ですか?
オンライン資格確認・電子処方箋・レセプトオンライン請求は、支払基金が指定する閉域接続経路(オン資ネットワーク等)の利用が要件です。それ以外の用途(リモート読影・在宅勤務医アクセス・分院間連携)は、SSL VPNやSDP(ZTNA)でも代替可能です。
Q2. 中小医療機関で月いくらバックアップに使うのが妥当ですか?
無床クリニック規模ではNAS+クラウドで月3,000〜10,000円、有床診療所〜中小病院では月10,000〜50,000円が一般的なレンジです(公式公開料金参考)。電子カルテのデータ容量・保存世代数で大きく変動します。
Q3. クラウド型電子カルテの場合バックアップは不要ですか?
クラウド事業者側の標準バックアップに加え、医療機関側でも独自にエクスポートデータをクラウドストレージに退避することを推奨します。事業者の障害・倒産・データ移行不可リスクを下げるためです。
Q4. イミュータブルバックアップは何のために必要ですか?
ランサムウェア攻撃を受けて管理者権限が奪われた場合でも、保護期間内は書き換え・削除ができないため、復旧に使えるクリーンなコピーを必ず1つ保てます。Wasabi Object Lock、AWS S3 Object Lock、Veeam Hardened Repositoryなどが代表的な実装です。
Q5. リモート読影や在宅勤務医のアクセスはどう設計すべきですか?
ZTNA(ゼロトラストネットワークアクセス)またはSDP(Software Defined Perimeter)型のリモートアクセスが推奨です。Cloudflare Access、Cisco Duo、Soliton SecureBrowserなどが医療機関でも導入されています。多要素認証と端末認証を必須化し、3省2ガイドラインの「機器認証+利用者認証」要件を満たします。
Q6. 自前のUTMを置くのとマネージドVPNではどちらが良いですか?
院内に情シス担当者がいる場合は自前UTM(FortiGate・SonicWall・YAMAHAなど)が運用コスト最適。情シス不在のクリニックではベンダー保守付きマネージドVPNが現実解です。
Q7. 復旧訓練はどのくらいの頻度で実施すべきですか?
3省2ガイドラインでは具体的な頻度は明示されていませんが、年1回以上の机上訓練、2〜3年に1回の実機復元訓練が推奨されます。診療継続要請度の高い病院ではより高頻度の訓練が望まれます。
Q8. 医療機器(生体モニタ・画像診断装置等)のバックアップはどうしますか?
医療機器メーカーごとに専用バックアップ手順があるため、各機器の保守契約に含まれるバックアップ運用を確認してください。設定情報(パラメータ・閾値)は院内のドキュメント管理システムに別途バックアップしておくと、機器交換時に役立ちます。
Q9. サイバー保険は加入すべきですか?
3省2ガイドライン準拠の対策を講じた上で、補完的に加入することが推奨されます。損害保険ジャパン・東京海上日動・AIG損保などが医療機関向けサイバー保険を提供しています。被害発生時の調査費用・復旧費用・損害賠償・診療停止損失をカバーします。
Q10. ガイドライン改定情報はどこで確認できますか?
厚生労働省「医療等情報利活用ワーキンググループ」の公表資料、JAHIS(保健医療福祉情報システム工業会)のガイダンス、IPA(情報処理推進機構)の医療セキュリティ関連情報を定期的にチェックすることを推奨します。
👉 次に読むべき記事
[PR]
関連:高単価転職をお考えの方は 医師転職サイト比較ランキング もご覧ください。
9. 関連記事
- 医療情報セキュリティ対策完全ガイド【2026年版・3省2ガイドライン準拠/中小医療機関向け】
- 医療セキュリティ乗り換え 失敗しない完全手順
- 医療セキュリティ解約・移行時の注意点とトラブル事例
- 電子カルテ比較おすすめ14選【2026年最新版・規模別/業種別の選び方】
10. 出典・参考情報
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」 https://www.mhlw.go.jp/stf/shingi/0000516275_00007.html
- 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」 https://www.meti.go.jp/policy/mono_info_service/healthcare/iryou/index.html
- 支払基金「医療機関等向け閉域ネットワーク」 https://www.ssk.or.jp/seido/iryouhoken/online_shikakukakunin/network.html
- JPCERT/CC「ランサムウェア対策」 https://www.jpcert.or.jp/magazine/security/ransomware-protect.html
- IPA「医療機関におけるサイバーセキュリティ対策」 https://www.ipa.go.jp/security/iryou/index.html
- JAHIS「保健医療福祉情報システム工業会 ガイダンス」 https://www.jahis.jp/standard/standard_guidance/
- NIST「Special Publication 800-209」 https://csrc.nist.gov/publications/detail/sp/800-209/final
11. 免責事項
本記事は2026年5月時点で公開されている厚生労働省・経済産業省・総務省・各事業者の公開情報を編集部が整理したものです。情報セキュリティ対策の具体的な実装は、自施設のリスクアセスメントと専門事業者・SIerとの相談に基づいて決定してください。本記事の情報を根拠とする行為で生じた損害について、当サイトは責任を負いかねます。
編集方針 | 最終更新日: 2026-05-02
mitoru編集部の見解
医療情報セキュリティは、医療情報システム安全管理ガイドライン6.0版(厚労省)と医療情報を取り扱う情報システム・サービス提供事業者ガイドライン(経産省・総務省)の3省2ガイドライン準拠が出発点です。ランサムウェア対策はバックアップ・多要素認証・ネットワーク分離の3点セットを最低限満たしてください。