医療機関ランサムウェア対策完全ガイド【2026年版・医療情報安全管理ガイドライン/バックアップ/事業継続】

by
📅公開日:2026-06-08
※本記事には広告(PR)が含まれます。掲載判断は当サイトの編集基準に基づき行っています。 編集方針 | 最終更新日: 2026-06-08

※本記事には広告(PR)が含まれます。mitoru編集部は公開情報を整理して比較・解説しており、表示順位や評価は広告主からの依頼ではなく編集部の独自判断によります。

2021年の徳島県つるぎ町立半田病院、2022年の大阪急性期・総合医療センター、2024年の岡山県精神医療センターなど、医療機関を狙うランサムウェア攻撃は連続して発生し、いずれも電子カルテの長期停止と新患受入制限という深刻な事業影響を残しました。攻撃の起点はVPN機器の脆弱性・委託業者経由の接続・標的型メールなど多様で、クリニックや中小病院でも「うちは小さいから狙われない」という前提は通用しなくなっています。本記事は、クリニック・病院のIT/事務責任者を対象に、厚生労働省「医療情報システムの安全管理に関するガイドライン」やIPA・警察庁・JPCERT/CCの公開情報をもとに、被害実態・侵入経路・多層防御・バックアップ運用・BCP・初動対応・段階導入までを2026年時点の最新観点で整理します。情報は公開時点のものであり、実装にあたっては所管官庁・医療情報システムベンダー・専門事業者への相談を併用してください。

この記事で分かること

  • 医療機関のランサムウェア被害件数・傾向に関する公的統計
  • 厚労省「医療情報システムの安全管理ガイドライン 第6.0版」の対策要点
  • VPN・RDP・フィッシング・USBという主要侵入経路と対策の方向性
  • EDR・MFA・特権分離・ネットワーク分離による多層防御の基本構成
  • 3-2-1ルール・イミュータブルバックアップの設計指針
  • 事業継続計画(BCP)に盛り込むべき論点
  • 被害発生時の初動対応・当局報告フロー
  • 自院で確認できる10項目の自己解析チェックリスト
  • 予算・人員制約下での段階導入アプローチ

[PR]

[PR]

医療セキュリティガイドも

医療法人サイバーセキュリティを見る

記事を読む →

1. 医療機関ランサムウェア被害の実態(公的統計)

警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」(2024年3月公表)によれば、2023年(令和5年)の1年間における企業・団体等のランサムウェア被害報告件数は197件で、前年(230件)に次ぐ高水準が続いています。業種別では製造業に次いでサービス業・医療・福祉分野の被害が目立ち、医療機関は事業特性上「停止できない業務」を抱えているため攻撃者から狙われやすい標的となっています。

IPA(情報処理推進機構)「情報セキュリティ10大脅威 2025(組織編)」では、ランサム攻撃による被害が引き続き第1位にランクインしており、近年は単純な暗号化だけでなく、データを盗み出して公開を脅迫する「二重脅迫(ダブルエクストーション)」、関係先まで脅迫対象を広げる「三重脅迫」が常態化しています。医療機関の場合、患者個人情報・診療情報という極めて機微なデータを扱うため、暗号化による業務停止と漏えいによる信用毀損が二重に発生します。

過去の主要事案を時系列で振り返ると、2021年10月の徳島県つるぎ町立半田病院では電子カルテと医療機器連携が停止し、新患受入が約2か月制限されました。2022年10月の大阪急性期・総合医療センターでは給食委託業者のVPN経由で侵入され、救急・手術受入が制限されました。2024年5月の岡山県精神医療センターでは個人情報の漏えい可能性が公表され、復旧まで長期を要しました。これらの公表事案はいずれも公式報告書がWebで公開されており、対策設計の一次資料として参照可能です。

項目内容出典
2023年ランサム被害報告件数197件(前年230件)警察庁 令和5年情勢
感染経路(VPN機器の脆弱性)約63%(2023年・有効回答中)警察庁 令和5年情勢
感染経路(リモートデスクトップ)約18%警察庁 令和5年情勢
復旧費用 1000万円以上の割合約37%警察庁 令和5年情勢
復旧期間 1か月以上の割合約20%警察庁 令和5年情勢

2. 厚労省「医療情報システムの安全管理ガイドライン」概要

医療機関のサイバーセキュリティを規律する最上位文書が、厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月)です。同ガイドラインは「概説編」「経営管理編」「企画管理編」「システム運用編」の4編構成に再編され、医療機関の経営層から現場運用担当まで、それぞれの役割に応じた指針を提示しています。医療情報を扱う以上、規模を問わず本ガイドラインの遵守が求められます。

ランサムウェア対策の観点で特に重要なのは、システム運用編に示される「サイバー攻撃に備えた対策」と「非常時の対応・事業継続計画」です。具体的には、ネットワーク機器の脆弱性管理、認証情報の適切な管理、バックアップの保管方法、インシデント発生時の連絡体制、復旧手順の整備などが論点として明記されています。また同ガイドラインは2〜3年ごとに改訂されるため、最新版を定期的に確認する運用が前提となります。

あわせて、外部委託先には経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(いわゆる「3省2ガイドライン」のうち事業者側)が適用されます。医療機関は、利用するクラウドサービス・電子カルテベンダー・ネットワーク保守事業者がこれらに準拠しているかを確認する責任を負います。委託契約・SLAに準拠条項を明記することが、サプライチェーン経由の被害を抑制する第一歩です。

さらに、厚生労働省は2022年3月に「医療機関におけるサイバーセキュリティ対策チェックリスト」を公表し、2024年度には改訂版を提示しています。チェックリストは「最低限実施すべき対策」を質問形式で整理しており、自院の現状把握ツールとして有用です。ガイドライン本体の読み込みと並行して、チェックリストで自己評価を実施することが推奨されます。

3. 侵入経路の典型パターン(VPN/RDP/フィッシング/USB)

警察庁の統計および公表されている被害事案から、医療機関を含む組織のランサムウェア侵入経路は概ね4類型に整理できます。自院がどの経路に対して脆弱かを把握し、対策の優先順位を決める判断材料としてください。

3-1. VPN機器の脆弱性悪用

警察庁の集計でも侵入経路の最多を占めるのがVPN機器の脆弱性悪用です。Fortinet・Pulse Secure・Citrix ADCなど主要VPN製品の既知脆弱性(CVE)が、パッチ未適用のまま放置されたところを突かれるケースが繰り返されています。JPCERT/CCは医療機関向けの注意喚起を複数回発出しており、ベンダーが公開するセキュリティアドバイザリを継続的に確認する運用が必須です。

3-2. リモートデスクトップ(RDP)の悪用

RDPをインターネットに公開している、または推測可能なパスワードで運用しているケースでは、総当たり攻撃・認証情報の窃取を経由した侵入が発生します。RDPはインターネット直結を原則禁止とし、VPN経由・多要素認証(MFA)・接続元IP制限を組み合わせる構成が標準です。診療所であっても保守ベンダーがRDP接続を利用している場合があり、契約条件の確認が必要です。

3-3. フィッシング・メール添付ファイル

保険請求・薬品発注・予約確認などを装ったフィッシングメールが医療事務・看護師宛てに届き、添付のOfficeマクロ・ショートカット・ISOファイルからマルウェアが実行される手口は2020年以降ずっと主要経路の一つです。メールゲートウェイのサンドボックス検査、添付ファイル種別の制限、職員への定期的な訓練(年1回以上の標的型メール訓練)が組み合わせとして機能します。

3-4. USB・外部媒体経由

医療機器とのデータ受渡し、研究データの持ち出し入れ、ベンダー保守作業など、USBが日常的に使われる現場では、管理外USBデバイスを経由した感染リスクが残ります。USBデバイス制御ソフトでホワイトリスト方式を採り、私物・不明媒体の接続を技術的に遮断する構成が望ましいですが、医療機器側の制約で全面禁止が難しい場合は、専用端末への接続限定・接続ログ取得などの代替策で対応します。

4. 多層防御の基本構成(EDR/MFA/特権分離/ネットワーク分離)

単一の対策で侵入を100%防ぐことはできないという前提に立ち、「侵入を遅らせる」「侵入されても被害を限定する」ことを狙う多層防御(Defense in Depth)が現代の標準アプローチです。医療機関で優先度の高い構成要素を整理します。

4-1. エンドポイント検知(EDR)の導入

従来型アンチウイルス(パターンマッチ方式)だけでは、未知のランサムや無ファイル攻撃を検知しきれません。EDR(Endpoint Detection and Response)は端末の挙動を継続的に監視し、不審な動作を検知・隔離します。EDR単独では運用負荷が高いため、24時間体制の監視サービス(MDR:Managed Detection and Response)と組み合わせる構成が中小医療機関に適しています。

4-2. 多要素認証(MFA)の徹底

VPN・リモートアクセス・特権アカウント・クラウドサービスへの認証は、ID/パスワードに加えてワンタイムパスワード・FIDO2セキュリティキー等の第二要素を組み合わせるMFAが原則です。総務省・経済産業省のサイバーセキュリティ関連文書でも繰り返し推奨されている基本対策で、認証情報が漏えいしても単独では侵入を許さない設計とします。

4-3. 特権アカウントの分離・最小権限

管理者権限を持つアカウントは日常業務用と分離し、必要なときだけ昇格して使う運用にします。Active Directoryのドメイン管理者アカウントを日常的に使う運用は、侵害時に組織全体への横展開を許す典型パターンです。最小権限の原則(PoLP)に沿って、職員ごとに必要最小限の権限を付与し、定期的に棚卸しを行います。

4-4. ネットワーク分離・ゼロトラスト的アプローチ

電子カルテ系・医事会計系・部門システム系・事務LAN系・ゲストWi-Fi系を物理的または論理的に分離し、不要な通信はファイアウォール・VLANで遮断します。委託業者のリモート保守接続は専用セグメントに収容し、本番ネットワークへの直接接続を許さない構成にします。完全なゼロトラストアーキテクチャの一足飛びの導入は難しくとも、「重要セグメントの隔離」と「常時認証」の方向性を段階的に進めることが現実的です。

5. バックアップ運用(3-2-1ルール・イミュータブル)

ランサム被害の本質的な打撃は「業務データに戻れないこと」にあります。逆に言えば、健全なバックアップから速やかに復旧できるなら、攻撃者の脅迫に応じる必要はありません。バックアップ設計はランサム対策の最後の砦として最大の投資対象になります。

5-1. 3-2-1ルールの徹底

「データは3つ保有・2種類の媒体に保管・1つはオフサイトに保管」する3-2-1ルールは、IPAやJPCERT/CCの注意喚起でも繰り返し言及される基本原則です。本番ストレージ・院内のバックアップ専用機・外部メディアまたはクラウドの3階層が標準的な構成例で、これによりサイバー攻撃と物理災害(火災・水害)の双方に備えます。

5-2. イミュータブル(書換不能)バックアップ

近年のランサムは、本番システムだけでなくバックアップサーバまで暗号化・削除しようとします。これに対抗するため、バックアップ媒体側で一定期間「書き換え・削除ができない」設定(オブジェクトロック、WORM、Air Gap)を持つ「イミュータブルバックアップ」が推奨されます。テープへのオフラインバックアップ、クラウドストレージのオブジェクトロック機能、専用バックアップアプライアンスの不変領域などが該当します。

5-3. リストア訓練の定期実施

バックアップを取得するだけでは「取れているように見えて壊れている」事故を防げません。月次または四半期ごとに、実際にリストアを実行して動作することを確認するリストア訓練が必要です。電子カルテベンダー・バックアップソリューションベンダーと協議し、本番影響のない方法で検証する手順を整備してください。被害発生時に「バックアップが壊れていた」と気づくのは最悪のパターンです。

5-4. 認証情報の分離

バックアップシステムの管理者アカウントは本番Active Directoryから分離し、別の認証基盤で管理することが望ましいとされています。本番のドメイン管理者権限が侵害された場合に、同じ認証情報でバックアップ側まで連鎖侵害されることを防ぐためです。バックアップサーバの管理ネットワークも分離し、平常時は通信を制限する構成にします。

6. 事業継続計画(BCP)の論点

サイバー攻撃に備えたBCPは、自然災害BCPの延長線では足りません。電子カルテ・医事会計・検査機器連携・診療予約・薬剤発注など、停止する業務が異なり、復旧シナリオも異なるため、サイバー版BCPとして個別に整備する必要があります。厚生労働省のガイドラインでも「非常時対応・事業継続計画」が章立てされています。

6-1. RTO・RPOの定義

RTO(目標復旧時間)とRPO(目標復旧時点)を業務領域ごとに定めます。電子カルテは「24時間以内に紙運用+部分復旧」「72時間以内に主要機能復旧」など段階目標を持ち、その達成手段としてバックアップ頻度・代替手段・人員配置を逆算します。「とにかく早く」ではなく、「業務が許容できる停止幅」を起点に設計します。

6-2. 紙運用への切替手順

過去の被害事例では、電子カルテ停止時に紙カルテ・紙処方箋への切替を余儀なくされました。紙運用への切替手順、必要帳票テンプレート、薬剤マスタの出力方法、保険請求の代替手段(後日入力)を事前に文書化し、年1回程度の訓練で職員が動けるようにしておくことが、サイバーBCPの実効性を高めます。

6-3. 地域医療連携・患者周知

新患受入制限・救急受入制限を行う場合の地域医師会・保健所・近隣医療機関への連絡経路、患者・家族への周知方法(Web・SNS・院内掲示・自治体広報)の手順を事前にまとめます。被害が公表事案となった医療機関は、いずれも社会的説明責任の重さに直面しており、広報担当・経営層を含めた合意形成が平時に必要です。

6-4. 外部支援先の事前確保

インシデント対応の専門事業者(フォレンジック・復旧支援)、法律相談先(個人情報保護法・刑事告訴)、保険(サイバー保険)の付保状況などを事前に確認し、緊急連絡先一覧として整備しておきます。被害発生から事業者を探し始めると意思決定が遅れ、被害が拡大します。

7. 被害発生時の初動対応と当局報告

感染兆候(暗号化ファイル発見・身代金要求文書発見・端末異常)を覚知した直後の対応が被害規模を左右します。初動は「拡大防止」と「証拠保全」の両立が原則です。

7-1. 拡大防止のための切り離し

感染端末はネットワークから切り離します。LANケーブルを抜く・Wi-Fiを無効化する物理的切断が確実です。電源は「フォレンジック証拠保全のために原則として落とさない」とされる場面と、「広がりを止めるために落とす」場面があり、自院での判断が難しい場合は専門事業者・JPCERT/CCに早期相談します。

7-2. 関係機関への報告

個人情報の漏えい・漏えいのおそれが生じた場合、個人情報保護委員会への速報(概ね3〜5日以内)と確報(30日以内、不正アクセス等は60日以内)の報告義務があります(個人情報保護法施行規則)。また、医療機関は厚生労働省・所管自治体・所轄保健所への報告、警察への被害届、JPCERT/CCへの届出を並行して進めます。報告先と期限は事前に一覧化しておくと、初動が早まります。

7-3. 身代金支払いの是非

警察庁・JPCERT/CCは、身代金の支払いを推奨していません。支払っても復号できる保証はなく、支払い実績がさらなる攻撃を呼ぶリスクもあるためです。また、制裁対象組織への支払いは法令違反になる可能性も指摘されています。支払いに関する意思決定は経営層と法律相談先で行い、原則として「支払わず復旧する」前提でバックアップ・復旧手順を整備しておくことが重要です。

7-4. 公表・広報

公表のタイミング・内容は、被害状況の正確な把握と関係機関への報告との順序を考慮して決定します。憶測ベースの早期公表は二次被害(風評・取材集中)を招き、過度の遅延は信用低下を招きます。経営層・広報・法律相談先・関係機関と協議のうえ、患者・家族・地域社会への説明責任を果たす公表計画を準備しておきます。

8. 自己解析チェックリスト(10項目)

厚生労働省・IPA・JPCERT/CCの公開資料をもとに、自院のランサム対策成熟度を確認できる10項目を整理しました。「Yes/No/不明」で機械的に評価し、Noと不明が残った項目から優先的に着手してください。

  1. インターネットに公開しているVPN・RDP・管理画面の棚卸しと、最新パッチ適用状況を把握しているか。
  2. VPN・特権アカウント・クラウドサービスの認証にMFAを導入しているか。
  3. 院内ネットワークが電子カルテ系・事務系・ゲスト系などに分離されており、不要通信を遮断しているか。
  4. EDR(または相当の振る舞い検知)を全端末に導入し、アラートを継続的に確認できる体制があるか。
  5. バックアップが3-2-1ルールに沿っており、少なくとも1つはイミュータブルまたはオフライン保管であるか。
  6. バックアップ管理者アカウントが本番Active Directoryと分離されているか。
  7. 過去6か月以内にリストア訓練を実施し、復旧時間の実測値を持っているか。
  8. サイバー攻撃を想定したBCP(紙運用切替・地域連携・広報)が文書化され、訓練済みか。
  9. インシデント対応の連絡先一覧(専門事業者・所管官庁・法律相談先)が整備されているか。
  10. 委託業者・電子カルテベンダーのリモート保守接続が専用セグメントに収容され、ログ取得されているか。

9. 即時対応が困難なケースの段階導入

多くのクリニック・中小病院では、人員・予算・診療業務優先度の制約から、上記対策を一度に整備することは現実的でありません。優先度を切り分けた段階導入の考え方を整理します。

9-1. 第1段階(数週間で着手)

VPN・ネットワーク機器の脆弱性棚卸しとパッチ適用、特権アカウントの棚卸しと不要アカウント削除、バックアップ取得・保管状況の確認は、追加投資が小さく効果が大きい領域です。電子カルテベンダー・ネットワーク保守事業者と現状確認の打合せを設定し、書面で報告を受ける運用から始めると進めやすくなります。

9-2. 第2段階(数か月)

MFAの導入(VPN・クラウドサービス・管理者アカウント)、職員向けセキュリティ研修と標的型メール訓練、サイバー版BCP文書の整備が中期で取り組む領域です。BCPは大上段の体系から作るのではなく、まず「電子カルテが3日止まったらどう動くか」の机上演習からはじめると実効性が出ます。

9-3. 第3段階(半年〜1年)

EDR・MDRの導入、ネットワーク分離の本格設計、イミュータブルバックアップの再設計、サイバー保険の付保検討は、年単位の予算化が必要な領域です。経営層への説明資料として、過去の医療機関被害事例の復旧費用・停止期間を用いて被害想定を行い、投資判断の根拠とします。

[PR]

[PR]

医療セキュリティガイドも

医療法人サイバーセキュリティを見る

記事を読む →

10. よくある質問(FAQ)

Q1. 小規模クリニックでもランサムの標的になりますか
規模に関わらず、インターネットに露出した脆弱な機器を持つ組織は無差別スキャンの対象になります。攻撃者は「医療機関を狙う」というより「侵入できる組織を探す」動きをしており、結果的に脆弱なクリニックが被害に遭うケースもあります。「うちは小さいから狙われない」という前提は危険です。
Q2. 電子カルテベンダーがセキュリティを担保しているはずですが、自院でも対策が必要ですか
ベンダー責任の範囲は契約・SLAで定められており、院内ネットワーク・端末・職員運用は通常自院の責任範囲です。電子カルテそのものが守られていても、事務LAN経由・職員端末経由で侵入されれば被害に直結します。役割分担を契約書面で確認することが第一歩です。
Q3. クラウド型電子カルテに切り替えれば対策は不要ですか
クラウド型はベンダー側で多くの対策を実施しますが、自院が利用する端末・アカウント・ネットワーク回線は引き続き自院の責任です。クラウドサービスへの認証情報が漏えいすれば、クラウド側のデータも危険にさらされます。MFA・端末対策・職員教育は引き続き必須です。
Q4. サイバー保険に入れば安心ですか
サイバー保険は被害発生時の費用を一部補填する仕組みであり、攻撃そのものを防ぐものではありません。保険加入を進めることは合理的ですが、加入を理由に技術的・組織的対策を緩めることは誤った判断です。多くの保険商品は「最低限の対策が実施されていること」を引受条件とします。
Q5. 被害が起きたら身代金を払えば早く復旧できますか
警察庁・JPCERT/CCは身代金支払いを推奨していません。復号鍵が正しく動作する保証はなく、支払い実績がさらなる標的化を招くリスクもあります。バックアップからの復旧を前提に、平時から訓練しておくことが本質的な解決策です。
Q6. 何から手をつければよいか分かりません
厚生労働省「医療機関におけるサイバーセキュリティ対策チェックリスト」を用いて自己評価し、Noが付いた項目から優先順位を付けてください。費用対効果の観点では、VPN・RDP・特権アカウントの棚卸し、MFA導入、バックアップ運用の見直しが最初の3ステップとして合理的です。

11. 出典・参考資料

※本記事は公開情報を編集部が整理したものであり、特定製品・サービス・事業者の推奨を行うものではありません。実際の対策設計・導入は、所管官庁の最新ガイドライン・専門事業者・電子カルテベンダーへの相談を併用してください。記載内容に誤りがある場合は お問い合わせ よりご指摘ください。確認のうえ訂正します。

関連記事(mitoru編集部おすすめ)

セキュリティ・インフラカテゴリの他の記事もチェック

mitoru編集部の見解

医療情報セキュリティの最大の脆弱性は「設定ミス」と「教育不足」です。mitoru編集部は、技術導入と並行して全スタッフ年2回の意識教育・パスワード管理・端末持ち出しルールの3項目を、実効性ある仕組みとして整備することを推奨します。

医師求人看護師求人比較記事