電子カルテが突然暗号化され、診療が数か月にわたって停止する――医療法人を標的にしたランサムウェア攻撃は2021年以降に急増し、2024年以降も収まる気配がありません。医療情報は健康保険情報・診断情報・処方歴・家族構成など極めて機微性の高いデータを含み、ダークウェブでの取引価格はクレジットカード情報の10倍以上とも言われます。さらに、24時間365日の診療継続が求められる医療機関は「止められない」という弱点を抱えており、攻撃者にとっては身代金要求に応じさせやすい標的です。厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月施行)では技術的・組織的・人的の三層対策が明確に要求され、準拠できていない医療法人はサイバー攻撃被害だけでなく行政指導や賠償リスクも抱えることになります。本記事では、院長・事務長・IT担当者向けに、攻撃の実態から法的根拠・対策設計・インシデント対応まで、公的ガイドラインをもとに体系的に解説します。具体的なセキュリティベンダーの選定・契約交渉・法的判断についてはIT責任者・セキュリティ専門家・弁護士へのご相談を推奨します。
この記事で分かること
- 医療法人がサイバー攻撃の主要標的になる構造的理由
- ランサムウェアの典型的な攻撃フローと国内医療機関の被害パターン
- 厚労省ガイドライン第6.0版が求める体制・責任者設置の要件
- 人的対策(教育・SOP整備)と技術対策(MFA・バックアップ・ネットワーク分離)の具体策
- 自院運用・ベンダー委託・クラウドサービス利用の比較と選定基準
- 10項目以上の実務チェックリスト
- インシデント発生時の初動対応フロー(72時間ルール)
- よくある質問(FAQ)8問への回答
[PR]
1. はじめに——医療法人がサイバー攻撃の標的になる理由
医療法人がサイバー攻撃者に狙われる理由は、一般企業とは異なる複合的な脆弱性にあります。大きく「情報の機微性」「支払い能力・意欲」「システム構造の複雑さ」の3点に整理できます。
1-1. 医療情報の高い機微性と市場価値
電子カルテに蓄積される患者情報には、氏名・生年月日・住所・保険証番号・診断名・処方歴・手術歴・家族構成などが含まれます。米国FBI・CISA(Cybersecurity and Infrastructure Security Agency)の調査によれば、医療記録1件のダークウェブ上の取引価格はクレジットカード情報の10〜50倍に達する場合があるとされています。個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」でも、医療情報は「要配慮個人情報」として最高レベルの保護が義務づけられています(出典:個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」 https://www.ppc.go.jp/personalinfo/legal/guidelines_medical/ 取得日:2026-05-09)。
1-2. 「止められない」という構造的弱点
医療機関は診療を止めると患者の生命に直結するため、攻撃者は「身代金を払えばすぐに復旧できる」という選択肢を医療機関に迫ります。製造業や小売業と異なり、数週間の業務停止が事実上不可能な医療機関は、交渉力が著しく低下します。2022年の大阪急性期・総合医療センターの事案では、委託業者経由でランサムウェアが侵入し、救急・手術受け入れが約2か月制限されました。このような事例が示すように、業務継続要件そのものが弱点になっています。
1-3. 複数ベンダー連携と旧来システムの混在
中規模病院では、電子カルテシステム・レセプトコンピュータ・医療機器(IoMT)・病院情報システム(HIS)・医事会計システム・外部クラウドサービスなど、複数のベンダーが提供するシステムが混在します。各システム間の接続部がセキュリティの「継ぎ目」となり、一か所に脆弱性があると横断的な侵入を許してしまいます。また、医療機器はOSのアップデートが製造業者の承認を要するため、Windows 7・10などの旧OSが現役で動き続けているケースが多く、既知脆弱性を修正できない構造的な問題を抱えています。IT責任者・セキュリティ専門家への相談を通じてシステム棚卸しと脆弱性評価を定期的に実施することが、最初の一歩となります。
2. 医療セキュリティの全体像(ガイドライン6.0版・関連法令)
医療法人のサイバーセキュリティ対策を義務・要件として規定する主要な法令・ガイドラインは複数存在し、それぞれの位置づけを正確に理解することが対策の出発点となります。
2-1. 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月施行)は、電子カルテをはじめ医療情報を取り扱うシステム全体を対象とした最上位の実務指針です。第5.0版(2017年)から大幅改訂され、医療DXの進展・クラウド利用の普及・サイバー攻撃の多様化に対応した内容となっています(出典:厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」 https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000516275_00006.html 取得日:2026-05-09)。
同ガイドラインが医療法人に対して明示する主な要件は以下のとおりです。(1)医療情報システム安全管理責任者の設置と役割分担の明確化、(2)リスクアセスメントの実施と文書化、(3)システム・ネットワーク構成図の整備、(4)定期的なバックアップと復旧訓練、(5)外部委託先(サードパーティ)へのセキュリティ要件の提示と確認、(6)インシデント対応手順書の整備と訓練。準拠状況は医療法第21条の3に基づく立入検査の確認事項とも関連するため、「努力義務」ではなく実質的な義務として捉えることが重要です。
2-2. 3省2ガイドラインの位置づけ
クラウドを含む医療情報システムの安全管理には「3省2ガイドライン」と呼ばれる2つの指針が関わります。厚生労働省ガイドライン(医療機関向け)に加え、経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(2020年、2023年改訂)は、ベンダーがクラウドで医療情報を扱う場合の要件を規定しています(出典:経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」 https://www.meti.go.jp/policy/it_policy/privacy/iryou_anzenkanri.html 取得日:2026-05-09)。医療法人がクラウドサービスを選定する際は、ベンダーがこのガイドラインに準拠しているかを確認する義務が事実上生じます。
2-3. 関連法令(医療法・個人情報保護法・サイバーセキュリティ基本法)
医療法(第21条の3・第30条の12)はセキュリティ体制整備を義務化し、個人情報保護法(2022年改正)は要配慮個人情報の漏洩を「重大事態」として個人情報保護委員会・本人への報告を原則72時間以内に義務づけます。サイバーセキュリティ基本法(2014年、2018年改正)は病院を含む重要インフラ事業者に自主的なセキュリティ対策を促す枠組みを提供しています。法的要件の具体的な適用と対応方針については、弁護士・セキュリティ専門家への相談が推奨されます。
3. 詳細1:ランサムウェアの典型攻撃パターンと医療現場の被害
ランサムウェア攻撃は「標的を選定する」→「侵入する」→「内部で横展開する」→「バックアップを無力化する」→「暗号化・恐喝する」という段階的なフローで進行します。医療機関に特有の被害パターンと攻撃経路を理解することが、効果的な対策設計の前提です。
3-1. 攻撃フローの5段階
MITRE ATT&CK フレームワークおよびIPA「情報セキュリティ10大脅威 2024」をもとに、医療機関に典型的な攻撃フローを5段階で整理します(出典:IPA「情報セキュリティ10大脅威 2024」 https://www.ipa.go.jp/security/10threats/10threats2024.html 取得日:2026-05-09)。
| 段階 | 攻撃者の行動 | 医療機関に特有のリスク | 主な対策ポイント |
|---|---|---|---|
| ①侵入 | VPN脆弱性悪用・フィッシングメール・委託業者経由のアクセス | 旧OSの医療機器・パッチ未適用のVPN機器・複数業者のVPN接続 | VPNパッチ管理・委託業者アクセス制限・メールフィルタリング |
| ②足場確立 | バックドア設置・管理者権限の取得(権限昇格) | 院内端末でのローカル管理者権限の広範な付与 | 最小権限原則の適用・特権アカウント管理(PAM) |
| ③内部探索・横展開 | ネットワーク内部のスキャン・他システムへの侵入 | 電子カルテ・HIS・医療機器が同一ネットワークに接続 | ネットワークセグメンテーション・ゼロトラスト化 |
| ④バックアップ無力化 | バックアップサーバーへの侵入・バックアップデータの暗号化・削除 | バックアップが本番ネットワークと同一セグメントに存在 | オフライン(エアギャップ)バックアップ・世代管理 |
| ⑤暗号化・恐喝 | 全サーバー・端末のデータ暗号化・身代金要求・二重恐喝(データ公開脅迫) | 診療停止が生命に関わるため交渉力が低下・身代金支払い圧力が高い | インシデント対応計画・BCP策定・法執行機関への連絡 |
3-2. 二重恐喝(ダブルエクストーション)の脅威
近年の高度なランサムウェアグループは、データ暗号化に加えて「暗号化前にデータを窃取し、身代金を支払わなければ公開する」という二重恐喝手口を使います。医療情報が流出した場合、個人情報保護法の報告義務・患者への通知・損害賠償リスクが発生するため、「バックアップから復元できれば被害なし」とはならない点に注意が必要です。対策としては、データ窃取を防ぐEDR(エンドポイント検出・対応)ツールや、異常な大量データ転送を検知するネットワーク監視の導入が有効とされています。具体的なツール選定はセキュリティ専門家へのご相談を推奨します。
3-3. サプライチェーン攻撃の増加
委託業者・取引先経由の侵入(サプライチェーン攻撃)は、大阪急性期・総合医療センターの事案(給食業者VPN経由)に代表されるように、医療機関が自院のセキュリティを高めても委託先を通じて侵入されるリスクです。サードパーティのアクセス権限を必要最小限に絞り、定期的に棚卸し・見直すプロセスが必要です。委託契約書にセキュリティ要件条項を盛り込む具体的な方法については、弁護士・IT責任者への相談が推奨されます。
4. 詳細2:医療情報システムの安全管理ガイドライン6.0版で求められる体制
ガイドライン第6.0版が明示する「体制整備」の要求事項は、人・組織・プロセスの3つの観点から読み解くことができます。形式的な文書整備にとどまらず、実際に機能する体制を構築することが求められています。
4-1. 医療情報システム安全管理責任者の設置
ガイドライン第6.0版は、医療機関の管理者(院長等)に医療情報システム安全管理責任者を設置することを求めています。中小クリニックでは院長自身が兼務するケースが多いですが、役割と責任範囲を明文化したうえで定期的なセキュリティ報告を受ける体制が必要です。100床以上の中規模病院では、情報システム部門の設置・外部CISO(最高情報セキュリティ責任者)の活用が推奨されます。具体的な人材確保・外部CISOサービスの選定はIT責任者・セキュリティ専門家への相談を通じて行ってください。
4-2. リスクアセスメントと文書化の義務
ガイドラインは、医療情報に関わるシステムの洗い出し(資産台帳の整備)、各システムの脅威・脆弱性の評価、リスク対応方針の決定と文書化を義務づけています。特に重要なのは、医療機器(IoMT含む)のネットワーク接続状況を把握することです。電子カルテと同じネットワークに接続された超音波装置・MRIの制御端末などが未把握のまま放置されているケースが多く見られます。資産台帳の整備には、専用の資産管理ツールまたはExcelベースの管理台帳が利用できます。
4-3. サードパーティ管理とSLA要件
クラウドサービスや委託業者を利用する場合、医療法人はベンダーに対して「3省2ガイドライン準拠の確認書」「セキュリティ要件書」「インシデント時の報告義務(72時間以内)」をSLAに盛り込むことが推奨されます。ガイドライン第6.0版は、委託先のセキュリティ管理状況を定期的に確認する義務も明示しています。契約交渉・SLA文書の作成については弁護士・IT責任者への相談を推奨します。
4-4. インシデント対応手順書(IRP)の整備と訓練
ガイドラインは、インシデント対応手順書(IRP:Incident Response Plan)の整備と年1回以上の訓練実施を求めています。IRPには、発見者→安全管理責任者→院長→監督官庁・JPCERT/CCへの報告ルート、診療継続可否の判断基準、代替業務手順(紙カルテへの切り替えなど)を明記します。机上演習(テーブルトップ演習)は費用対効果が高く、座学研修と組み合わせて実施することが推奨されます。
5. 詳細3:人的対策(教育・運用ルール)と技術対策(多要素認証・バックアップ)
セキュリティ対策は「人(People)・プロセス(Process)・技術(Technology)」の3層で設計します。技術だけに投資しても、人的なミスや運用ルールの欠如から攻撃の侵入を許すケースが後を絶ちません。
5-1. 人的対策:セキュリティ教育と運用ルール整備
IPA「中小企業の情報セキュリティ対策ガイドライン」(第3.1版)は、従業員向けセキュリティ教育を「組織的対策の基本」として位置づけています(出典:IPA「中小企業の情報セキュリティ対策ガイドライン」 https://www.ipa.go.jp/security/keihatsu/sme/guideline/ 取得日:2026-05-09)。医療機関で有効な人的対策の主要項目は以下のとおりです。
- フィッシングメール訓練:年2〜4回の模擬フィッシングメール送付による実践訓練。クリック率の推移を記録し改善指標とする
- パスワードポリシーの徹底:初期パスワードの即時変更・定期変更(90日以内)・使い回し禁止のルール化と管理者による定期監査
- USBメモリ・私有端末の持ち込み管理:私有USB・スマートフォンの院内システム接続を原則禁止とし、例外申請フローを整備
- 情報セキュリティポリシーの整備と周知:全スタッフが年1回確認・署名するセキュリティポリシーを整備。入職時の必須研修に含める
- 内部不正対策:退職者のアカウント即時無効化フローをHRシステムと連携して確立
5-2. 技術対策①:多要素認証(MFA)の導入
VPN・電子カルテ・クラウドサービスへのアクセスに多要素認証(MFA)を適用することは、ガイドライン第6.0版でも推奨されており、侵入リスクを大幅に低減する費用対効果の高い対策です。経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」(2023年3月)でも、MFA導入は「重要10項目」の一つとして挙げられています(出典:経済産業省「サイバーセキュリティ経営ガイドライン」 https://www.meti.go.jp/policy/netsecurity/mng_guide.html 取得日:2026-05-09)。医療機関での実装においては、「スマートフォン認証アプリ(TOTP)」「ハードウェアトークン」「生体認証」の3方式のうち、スタッフのITリテラシーと端末保有状況に合わせて選定します。具体的な製品選定・導入設計はIT責任者への相談を推奨します。
5-3. 技術対策②:バックアップ戦略(3-2-1-1-0ルール)
バックアップ設計の基本原則は「3-2-1-1-0ルール」です。3つのコピー・2種類の媒体・1つのオフサイト保管・1つのオフライン(エアギャップ)保管・0件の検証エラー(復旧テスト必須)を意味します。医療機関で特に重視すべきは「オフライン(エアギャップ)バックアップ」です。ランサムウェアがネットワーク経由でバックアップサーバーに到達できないよう、定期的に物理的に切断した媒体(テープ・外付けHDD)への書き出しが有効です。バックアップの世代管理は最低30日分(72時間以内の復旧目標に合わせた世代数)を推奨します。復旧訓練を年2回以上実施し、復旧所要時間(RTO)を実測することが必要です。
5-4. 技術対策③:ネットワーク分離とアクセスログ管理
電子カルテネットワーク・医療機器ネットワーク・一般業務ネットワーク・ゲストWi-Fiを論理的または物理的に分離(セグメンテーション)することで、侵入後の横展開を遮断します。ファイアウォール・VLAN・DMZを適切に設計し、セグメント間の通信を必要最小限のポート・プロトコルに絞ります。アクセスログは最低6か月分を改ざん不可能な形(書き込み専用媒体またはSIEMへの転送)で保管し、異常なログインを自動アラートする仕組みが推奨されます。設計・実装はIT責任者・セキュリティ専門家への相談を推奨します。
6. 比較・判断軸(自院運用 vs ベンダー委託 vs クラウドサービス)
医療法人のセキュリティ体制の構築方法は大きく「自院運用」「ベンダー委託」「クラウドサービス(SaaS型セキュリティ)」の3パターンに分かれます。規模・IT人材の有無・予算に応じた選定が必要です。
| 比較項目 | 自院運用 | ベンダー委託(マネージドサービス) | クラウドSaaSセキュリティ |
|---|---|---|---|
| 初期費用目安 | 高(機器購入・設計費) | 中(導入・設定費) | 低〜中(月額課金・設定費) |
| ランニングコスト | 中(人件費・保守費) | 中〜高(月額委託費) | 低〜中(月額課金) |
| 専門人材 | 院内で確保が必要 | ベンダーが提供 | 部分的に不要 |
| カスタマイズ性 | 高 | 中(ベンダー依存) | 低〜中 |
| 3省2ガイドライン適合 | 自院責任で確認が必要 | ベンダーの準拠確認が必要 | ベンダーの認定確認が必要 |
| インシデント対応速度 | 院内体制次第(遅い場合あり) | SLAで保証可能 | 部分的にサポートあり |
| 適した規模の目安 | 200床以上・IT部門あり | 50〜200床程度 | 小規模クリニック〜中規模 |
| 主なリスク | 人材不足・ノウハウ欠如 | ベンダーロックイン・SLA不備 | カスタマイズ不足・ネット障害依存 |
選定にあたっては、「現在の院内IT人材の実態」「予算規模(年間セキュリティ予算)」「既存電子カルテシステムとの親和性」「ベンダーの医療機関実績・3省2ガイドライン準拠確認」の4点を評価軸とすることが推奨されます。特にベンダー委託・クラウドサービスを選定する場合は、SLAの内容(インシデント報告時間・復旧目標時間・責任範囲)を契約前に詳細確認し、弁護士・IT責任者のレビューを経ることが重要です。
7. 実務チェックリスト(10項目以上)
以下のチェックリストは、ガイドライン第6.0版・IPA「中小企業の情報セキュリティ対策ガイドライン」・経済産業省「サイバーセキュリティ経営ガイドライン」をもとに編集部が整理したものです。すべての項目に「対応済」「対応中」「未対応」のいずれかを記入し、未対応項目を優先度付きでロードマップに落とし込むことを推奨します。具体的な実装方法・ツール選定はIT責任者・セキュリティ専門家への相談を推奨します。
組織・体制(5項目)
- ☐ 安全管理責任者を任命し、役割・権限を文書で明定している(ガイドライン第6.0版・必須)
- ☐ 医療情報システムの資産台帳(システム名・担当ベンダー・ネットワーク接続状況)を整備・最新化している
- ☐ セキュリティポリシー(情報セキュリティ基本方針)を策定し、全スタッフに周知している
- ☐ 委託業者との契約書にセキュリティ要件・インシデント報告義務を明記している
- ☐ 年1回以上のリスクアセスメントを実施し、結果を文書化している
人的対策(4項目)
- ☐ 全スタッフ向けセキュリティ研修を年1回以上実施し、受講記録を管理している
- ☐ フィッシングメール模擬訓練を年2回以上実施し、クリック率を計測・記録している
- ☐ 退職・異動時のアカウント即時無効化フローが確立・運用されている
- ☐ 私有端末・USBメモリの持ち込みルールを定め、違反時の対応フローがある
技術対策(6項目)
- ☐ VPN機器・ファイアウォールに最新パッチを適用し、パッチ管理台帳を整備している(最重要)
- ☐ 電子カルテ・VPN・クラウドサービスへのアクセスに多要素認証(MFA)を適用している
- ☐ 電子カルテNW・医療機器NW・一般業務NWをネットワーク分離(VLAN/ファイアウォール)している
- ☐ オフライン(エアギャップ)バックアップを含む3-2-1-1-0ルールを実施し、年2回以上復旧訓練を行っている
- ☐ アクセスログを6か月以上改ざん不可能な形式で保管し、異常検知アラートを設定している
- ☐ EDR(エンドポイント検出・対応)またはアンチウイルスを全端末に導入・定義ファイルを自動更新している
インシデント対応(3項目)
- ☐ インシデント対応手順書(IRP)を整備し、スタッフが閲覧できる場所に保管している(紙でも用意)
- ☐ JPCERT/CC・個人情報保護委員会・都道府県等の連絡先をIRP内に明記している
- ☐ 年1回以上の机上演習(テーブルトップ演習)を実施し、手順書を更新している
8. インシデント発生時の初動対応
ランサムウェア感染を疑う事象(端末のファイルが開けない・画面に英語のメッセージが表示される・ネットワーク速度が極端に低下)を発見した場合、最初の数時間の対応が被害の規模を大きく左右します。個人情報保護法は重大な漏洩事態について72時間以内の個人情報保護委員会への報告を義務づけており、初動の迅速さが法的義務履行にも直結します。
8-1. 発見から0〜6時間(封じ込め)
- 感染端末の即時ネットワーク切断:LANケーブルを物理的に抜く・Wi-Fiを無効化する(シャットダウンは証拠を消す可能性があるため原則として先に切断)
- 安全管理責任者・院長への即時報告:電話または口頭(メール・院内チャットシステムが感染している可能性があるため)
- 感染範囲の確認:他の端末・サーバーが同様の症状を示していないか確認。感染が広範囲の場合はネットワーク全体の切断を検討
- 証拠保全:感染端末の電源をそのまま維持した状態でスクリーンショット・写真撮影。ランサムウェアのメッセージ内容を記録
- バックアップの安全確認:バックアップサーバーが感染していないか確認。安全が確認できたら保護状態に移行
8-2. 発見から6〜24時間(報告・専門家連携)
- 外部専門家・ベンダーへの連絡:電子カルテベンダー・セキュリティ対応委託先(契約済みの場合)・MSP(マネージドサービスプロバイダー)へ連絡。契約がない場合は都道府県警察サイバー犯罪相談窓口またはJPCERT/CCへ
- 都道府県警察への被害届準備:ランサムウェアは刑事事件として取り扱われる場合があるため、警察への相談・届け出を検討
- 診療継続計画(BCP)の発動:電子カルテが使用不可の場合、紙カルテへの切り替え手順を発動。外来受付・手術スケジュールの見直し
- 個人情報漏洩の可能性評価:患者情報が外部に漏洩した可能性がある場合、個人情報保護委員会への報告準備(72時間以内の報告が法律上の義務)
8-3. 発見から24〜72時間(報告義務・復旧計画)
- 個人情報保護委員会への報告:要配慮個人情報を含む重大漏洩事態は72時間以内の報告が義務(出典:JPCERT/CC「インシデント報告」 https://www.jpcert.or.jp/form/ 取得日:2026-05-09)
- 厚生労働省・都道府県への報告:医療法に基づく医療機関として、所管の都道府県福祉保健局等への報告が求められる場合がある。具体的な報告義務の有無・手順は弁護士・IT責任者への相談を推奨
- JPCERT/CCへの報告:JPCERT/CCのインシデント報告フォームから状況を報告することで、技術的サポートや注意喚起が得られる可能性がある
- 復旧計画の策定:フォレンジック調査(侵入経路の特定)→感染端末のクリーンインストール→バックアップからの復旧→脆弱性修正→動作確認→段階的な診療再開のロードマップを専門家と共同で策定
身代金の支払いについては、FBI・CISA・警察庁はいずれも「支払いを推奨しない」立場を明示しています。支払いが復旧を保証せず、攻撃グループへの資金提供となるためです。支払いの可否・法的リスクについては弁護士への相談が必須です。
9. FAQ 8問
Q1. 小規模クリニック(診療所)でも同じ対策が必要ですか?
A. 厚生労働省ガイドライン第6.0版は病院・診療所・歯科・調剤薬局など「電子的に医療情報を扱う事業者」全般を対象としており、規模に関係なく適用されます。小規模クリニックでは対策の優先順位を絞ることが現実的で、まず「VPNパッチ管理」「MFA導入」「オフラインバックアップ」の3点に集中することが推奨されます。具体的な優先順位付けはIT責任者・セキュリティ専門家への相談を推奨します。
Q2. サイバー保険は加入すべきですか?
A. サイバー保険はランサムウェア対応費用・フォレンジック費用・賠償金・事業中断損失を補填する手段として有効です。ただし、保険は「予防」の代替ではなく、最低限の技術的対策を実施したうえで加入することが前提となります。また、保険会社が補償対象とする条件(MFA導入・バックアップ実施など)を契約前に確認することが重要です。具体的な保険商品の選定・条件確認はIT責任者・保険専門家への相談を推奨します。
Q3. 電子カルテシステムのベンダーにセキュリティを任せれば十分ですか?
A. 不十分です。ガイドライン第6.0版は、システムを提供するベンダーではなく「医療機関の管理者(院長等)」が安全管理義務を負うことを明示しています。委託先のセキュリティ管理状況を定期的に確認し、SLAに責任範囲を明記することが医療機関側の義務です。「ベンダーに任せているから大丈夫」という認識が被害を拡大させた事例が複数報告されています。
Q4. ランサムウェアに感染した場合、身代金は支払うべきですか?
A. 警察庁・FBI・CISAはいずれも「支払いを推奨しない」立場を明示しています。理由は、(1)支払いがデータ復旧を保証しない(複数の事例で支払い後も復旧できなかったケースあり)、(2)攻撃グループへの資金提供となり同様の攻撃が継続される、(3)一度支払うと「支払う組織」としてリストアップされ再攻撃を受けやすくなる、の3点です。具体的な法的判断は弁護士への相談が必須です。
Q5. バックアップがあれば身代金を払わずに復旧できますか?
A. オフライン(エアギャップ)バックアップが適切に管理されていれば、理論上は身代金なしで復旧できます。ただし、前述の「二重恐喝」(データ窃取・公開脅迫)に対してはバックアップは無効であり、個人情報漏洩の対応は別途必要です。また、バックアップからの完全復旧には数日〜数週間かかる場合があり、その間の診療継続計画(BCP)も必須です。
Q6. 医療機器(MRI・超音波など)もセキュリティ対策が必要ですか?
A. 必要です。IoMT(医療IoT機器)は一般的にOSの更新が製造業者の承認を要するため、旧OSのまま運用されるケースが多く、サイバー攻撃の侵入口になりやすい状況です。ガイドライン第6.0版はIoMT含む医療機器の資産管理とネットワーク分離を求めています。医療機器をネットワークから切り離す、または専用の隔離セグメントに配置することが基本的な対策です。具体的な設計は製造業者・IT責任者への相談を推奨します。
Q7. セキュリティ対策の年間予算はどのくらいが目安ですか?
A. 一般的な目安として、IT予算全体の10〜15%をセキュリティに充てることが国際的な指標とされていますが、医療機関のITコスト実態は規模・電子カルテシステムの種類により大きく異なります。優先度の高い対策(VPNパッチ管理・MFA・バックアップ強化)は比較的低コストで実施できるものも含まれます。具体的な予算設計はIT責任者・セキュリティ専門家への相談を推奨します。
Q8. JPCERT/CCへの報告は義務ですか?
A. JPCERT/CCへの報告は法的義務ではなく任意ですが、インシデントの技術的サポートを受けられる可能性があり、また同様の攻撃を他の医療機関に伝える公益的な役割があります。一方、個人情報保護委員会への報告は要配慮個人情報を含む重大漏洩事態については72時間以内の報告が義務です。報告義務の具体的な判断は弁護士への相談を推奨します。
10. 次の1ステップ・関連記事・出典
今すぐできる次の1ステップ
本記事を読んだ後、最初の1ステップとして「院内で利用しているVPN機器の型番を確認し、製造業者のサポートサイトで最新のパッチ適用状況を確認する」ことを推奨します。これはコストゼロで着手でき、国内の医療機関被害事例の多くが「VPN脆弱性の放置」から始まっているためです。次に、電子カルテベンダーに「バックアップのオフライン保管状況とランサムウェア対応実績」を確認することを推奨します。具体的なセキュリティ体制の設計・ベンダー選定・法的対応についてはIT責任者・セキュリティ専門家・弁護士へのご相談をお勧めします。
[PR]
関連記事
出典・参考資料
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」 https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000516275_00006.html(取得日:2026-05-09)
- 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」 https://www.meti.go.jp/policy/it_policy/privacy/iryou_anzenkanri.html(取得日:2026-05-09)
- 個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」 https://www.ppc.go.jp/personalinfo/legal/guidelines_medical/(取得日:2026-05-09)
- IPA「中小企業の情報セキュリティ対策ガイドライン」 https://www.ipa.go.jp/security/keihatsu/sme/guideline/(取得日:2026-05-09)
- IPA「情報セキュリティ10大脅威 2024」 https://www.ipa.go.jp/security/10threats/10threats2024.html(取得日:2026-05-09)
- 経済産業省「サイバーセキュリティ経営ガイドライン」 https://www.meti.go.jp/policy/netsecurity/mng_guide.html(取得日:2026-05-09)
- JPCERT/CC「インシデント報告」 https://www.jpcert.or.jp/form/(取得日:2026-05-09)
※本記事の情報は掲載時点のものです。法令・ガイドラインの改正が行われた場合は、最新の公式情報をご確認ください。医療機関のセキュリティ体制の具体的な設計・ベンダー選定・法的対応についてはIT責任者・セキュリティ専門家・弁護士へのご相談を推奨します。
mitoru編集部の見解
医療法人の会計・税務は、定期同額給与の3ヶ月ルール、事前確定届出給与の届出期限、分掌変更否認のリスクなど、一般法人と異なる運用が必要です。クラウド会計の導入だけでなく、税理士との連携体制を併せて整えることをmitoru編集部は推奨します。