病院のサイバーセキュリティ対策は、患者情報の保護や医療サービスの継続に不可欠です。本記事では、病院を狙うサイバー攻撃の手口、具体的な対策ポイント、関連法規などを解説し、医療機関が安全な環境を構築するための情報を提供します。医療情報システムだけでなく、医療機器のセキュリティリスクについても言及します。
病院セキュリティの重要性
病院におけるセキュリティは、患者の生命と直結する医療サービスの継続性を確保するうえで不可欠です。なかでも、サイバー攻撃の脅威が高まる現代において、病院セキュリティの強化は喫緊の課題といえるでしょう。
その理由は、医療機関が取り扱う情報の価値と、業務の中断による社会的影響の大きさにあります。患者の個人情報や診療記録、医療機器の稼働情報は、悪意ある第三者にとって非常に魅力的な標的です。
実際に、セキュリティ対策が不十分な病院が攻撃を受け、診療の停止や患者情報の漏洩に至る事例が国内外で報告されています。診療の停止や患者情報の漏洩は、病院の信用失墜だけでなく患者の安全にも直接的な影響を与えます。
病院セキュリティは、情報保護のためだけでなく医療の質と安全性を維持するためにも不可欠な取り組みです。
標的型攻撃の増加と医療機関への影響
近年、病院を狙った標的型攻撃が増加しており、医療機関のサイバーセキュリティに深刻な影響を及ぼしています。
標的型攻撃とは、特定の組織に対して事前に調査を行った上で仕掛けられるサイバー攻撃手法であり、標的の業務内容や弱点を突く高度な技術が用いられます。医療機関は、緊急対応が多くIT予算が限られているケースが多いため、サイバー攻撃に対して脆弱になりがちです。
例えば職員を装ったメールに添付されたマルウェアにより病院のネットワークが感染し、電子カルテへのアクセスが不能となったケースも考えられます。電子カルテへのアクセスが不能となると診療が停止し、多くの患者に影響が及ぶでしょう。
標的型攻撃は医療サービスそのものを脅かすリスクがあるため、早急な対策が求められます。
医療情報システムのセキュリティリスク
医療情報システムは、診療記録や検査データ、薬剤管理などに関わる膨大な情報を扱います。そのため、サイバー攻撃の標的になりやすく、セキュリティリスクが高い領域です。
特に問題となるのは次のような点です。
- システムが古いまま運用されていることが多く、脆弱性が放置されている
- ネットワーク経由で外部と接続されているため、不正アクセスのリスクがある
- 複数のベンダー製品が混在しており、一元管理が難しい
- ITベンダにシステムを丸投げしており、病院側のガバナンスが弱い(日本)
例えば、古いOSを使用したシステムにパッチが適用されていない場合、既知の脆弱性を悪用されてデータ漏洩に至る可能性があります。
こうしたリスクに対応するには、セキュリティパッチの迅速な適用、アクセスログの常時監視、システム更新の計画的実施が必要です。
医療機器のセキュリティリスク
医療機器のセキュリティ対策は見落とされがちですが、非常に重要です。特にネットワークに接続される医療機器は、攻撃対象となるリスクを抱えています。
医療機器のセキュリティ上の課題には、次のようなものがあります。
- 医療機器ベンダーが機器内のOSの更新や設定変更を制限している
- 医療機器が独自に管理されており、キュリティポリシーが統一されていない
- 利用現場での物理的管理が不十分
インスリンポンプやCTスキャナーなどの機器が攻撃を受け、誤作動を引き起こすケースも考えられます。
そのため、機器の導入段階からセキュリティ要件を明確にし、ネットワーク分離やアクセス制限の設計を行うことが重要です。
病院を狙うサイバー攻撃の手口
サイバー攻撃の手口は多岐にわたり、病院に深刻な影響を及ぼします。代表的な手口として「ランサムウェア」「標的型攻撃」「内部不正」が挙げられます。
それぞれ異なる経路と動機で行われるため、複合的な対策を行わなければなりません。
ランサムウェア
病院におけるランサムウェアの脅威は深刻です。ランサムウェアとは、システムやデータを暗号化し、解除のために金銭を要求するマルウェアです。病院が被害を受けた場合、診療記録や医療機器が使用不能になり、診療継続が困難になります。
実際に、国内外で病院がランサムウェア攻撃を受け、診療停止や救急搬送の制限が発生した事例が報告されています。被害を最小限に抑えるためには、日々のバックアップやセキュリティアップデートの徹底が不可欠です。
標的型攻撃
標的型攻撃は、病院の内部構造やシステムを調査した上で行われる高度な攻撃です。一般的なウイルス対策では検知されにくく、業務メールなどに偽装して侵入するケースが多く見られます。
対策としては、職員の教育に加え、添付ファイルの自動スキャンや未知のファイルを隔離する機能などの多層防御が有効です。
内部不正
内部不正とは、病院内部の職員や委託業者などが意図的・無意識的にセキュリティを侵害する行為です。例えば、無断でUSBメモリを使用する、個人情報を持ち出すといった行為が挙げられます。
これを防ぐには、アクセス権限の厳格な管理、操作ログの記録、定期的な監査が有効です。
病院セキュリティ対策のポイント
病院セキュリティ対策を講じる際は、人的・技術的・組織的な観点から複数の施策を並行して進めることが重要です。以下の6つのポイントは、限られた予算と人員の中でも効果的に実施可能な対策として推奨されます。
職員へのセキュリティ意識向上教育
セキュリティ対策の第一歩は、職員一人ひとりの意識改革です。高度な技術的防御を整えても、人的ミスがあれば意味がありません。たとえば、フィッシングメールに添付されたマルウェアの開封、不審なURLのクリック、院内システムへの安易なパスワード設定などがインシデントのきっかけになることがあります。
そのため、全職員を対象にした年1回以上の集合研修や、定期的なeラーニングによる啓発が効果的です。さらに、標的型攻撃を模した模擬演習を取り入れることで、実践的な対応力も養えます。
アクセス制御
情報システムへのアクセスは、必要最小限の原則に基づいて厳格に管理する必要があります。具体的には、以下のような制御を実施するとよいでしょう。
- アカウントの役割・所属に応じた権限設定
- 二要素認証の導入
- アクセスログの定期的な監査
また、退職や異動時には、迅速にアカウント削除や権限変更を行う体制が不可欠です。管理を怠ると、不正アクセスや情報漏洩のリスクが高まります。
侵入検知・防御システム(IDS/IPS)の導入
IDS(Intrusion Detection System)とIPS(Intrusion Prevention System)は、外部からの不正アクセスを検知・遮断するセキュリティの要です。導入することで、サーバーやネットワークに対する攻撃をリアルタイムで把握し、迅速に対応することが可能になります。
ポイントは、単なる導入ではなく「運用体制の整備」です。ログ分析やアラート対応の体制を整えなければ、せっかくのツールも機能を十分に果たせません。外部SOC(Security Operation Center)との連携も有効な選択肢です。
エンドポイントセキュリティ対策
各端末(PCやタブレット、スマートフォンなど)は攻撃者にとって侵入口になり得ます。そのため、端末レベルでの防御は欠かせません。以下のような対策が効果的です。
- ウイルス対策ソフトの導入と定義ファイルの自動更新
- 不要なUSBポートや外部接続機能の制限
- デバイス紛失時のリモートロック・ワイプ機能の実装
また、端末利用時のルールを明文化し、職員に徹底させることも忘れてはなりません。
脆弱性管理
OSやアプリケーションには常にセキュリティホールが存在し、それを放置すると攻撃者に悪用されるリスクがあります。脆弱性管理の基本は「最新のパッチを迅速に適用すること」です。
ただし、医療現場では医療機器に対するパッチ適用による動作不良のリスクもあるため、テスト環境での事前確認や適用スケジュールの策定が求められます。また、脆弱性診断ツールの導入により、定期的なチェックを自動化することも可能です。
データバックアップとリカバリ計画
万が一、サイバー攻撃やシステム障害により医療情報が失われた場合、迅速な復旧が患者の安全を守る鍵となります。そこで重要なのが、バックアップとリカバリ計画の策定です。
次のようなルールを設定・実施し、万が一の際に対応できるよう準備しておきましょう。
- バックアップの頻度(例:日次・週次)と保存期間の明確化
- 異なるロケーション(オンサイト/オフサイト)への多重保存
- 定期的な復旧訓練(DR演習)による実効性の確認
これにより、診療の中断や混乱を最小限に抑えられます。
すぐに全てを完璧に実行する必要はありません。重要なのは、自院の課題を明確にし、優先順位をつけて段階的に実行していくことです。
病院セキュリティに関する法規制とガイドライン
病院におけるセキュリティ対策は、内部方針やシステム設計だけでは不十分であり、法令およびガイドラインとの整合性が求められます。特に、個人情報保護法や厚生労働省が定めるガイドラインは、医療機関にとって遵守すべき基本的な枠組みです。
法規制は「最低限守るべき基準」として、組織のセキュリティポリシー策定にも大きな影響を及ぼします。
個人情報保護法
個人情報保護法は、患者の氏名や住所、診療記録といった個人情報を保護するための日本の基本法です。病院では、患者情報の取り扱いについて、特に厳格な管理体制を整備しなければなりません。
主な遵守ポイントは次の通りです。
| 利用目的の明示 | 患者から情報を収集する際には、その利用目的を明確に伝える必要があります。 |
| 安全管理措置 | 技術的・組織的に漏洩・改ざん・滅失のリスクを防ぐ対策が求められます。 |
| 委託先管理 | クラウドベンダーや外部事業者にデータを預ける場合も、契約や監査を通じて管理責任を果たす必要があります。 |
| 第三者提供の制限 | 本人の同意がない限り、データを外部に渡すことは原則禁止されます。 |
法令違反が発覚した場合、病院の信頼低下のみならず、行政指導や損害賠償など法的責任が問われるリスクもあります。そのため、日々の業務における「個人情報の扱い方」に対する継続的な教育と内部監査が重要です。
医療情報システムの安全管理に関するガイドライン
厚生労働省が発行している「医療情報システムの安全管理に関するガイドライン」は、病院がIT化を進めるうえで、セキュリティ確保の指針となる文書です。2025年5月時点の最新版(第6.0版)では、サイバー攻撃の多様化・巧妙化を踏まえた実務的な内容が盛り込まれています。
ガイドラインの構成は、以下の4つの観点で整理され、各編で想定する読者に求められる遵守事項及びその考え方が示されています。
- 概説
- 経営管理
- 企画管理
- システム運用
また、外部委託・外部サービスの利用や災害・サイバー攻撃・システム障害等の非常時に対する対応や対策についても詳細な指針が示されています。
このガイドラインは法的拘束力を持ちませんが、厚労省が公的に示す標準であるため、実質的には「準拠すべき準法規」として扱われるものです。特に診療報酬請求に係るオンライン請求システムの運用や、第三者評価制度(病院機能評価など)にも影響するため、定期的な自己点検とアップデートが推奨されます。
医療機関のサイバー攻撃実例から考える 医療情報システムのサイバーセキュリティ対策ポイントを解説
2024年7月30日開催TXOneウェビナーでは「医療情報システムの安全管理に関するガイドラインガイドライン第6.0版」の改訂ポイントの解説と、日本で実際に起きた医療情報システムにおけるサイバー攻撃の実例をもとに、医療情報システムをサイバー攻撃から守り安全に管理するための対策ポイントを解説します。
病院セキュリティ対策の事例
2022年に日本国内で、病床数約800床の総合医療センターでランサムウェア被害を受けました。感染経路は、外部事業者を経由したサプライチェーン攻撃です。VPN装置の脆弱性を悪用され侵入されましたが、4か月前に別の医療機関でも同じ手口でサイバー攻撃を受け、大きな被害となっています。
これによってこの総合医療センターでは電子カルテシステムが完全に復旧するまで2カ月強かかり、被害額は、調査・復旧費用で数億円以上、診療制限などの逸失利益は数十億円にのぼりました。
ではどのように被害を受けたのでしょうか。
外部事業者データセンターではファイアウォールが設置され、安全性が担保されています。かつ、外部事業者と医療機関を繋ぐ閉域にもファイアウォールを設置しています。病院のネットワーク内にはアンチウイルスソフトウェアを設定しています。仮にランサムウェアが侵入したとしても、本来であれば、アンチウイルスソフトウェアで駆除できたはずでした。
しかし、なぜこのようなインシデントが起きてしまったのでしょうか。それには次の7つの理由が考えられます。
- サイバーセキュリティインシデントは対岸の火事で、自分には起きないと思い込んでいる
- ITに関しては業者に任せていた
- 部署ルールに基づいたネットワーク・セキュリティ構築で、ルールが統一されておらず、他部署のセキュリティ構築をそれぞれが理解していなかった
- IDとパスワードは同じものを使いまわしていた
- 管理者権限を全ユーザーにつけてしまっていた
- パスワードのアカウントロックは設定していなかった
- アンチウイルスソフトをインストールできないサーバーや端末には、対策を講じなかった
このような理由が、様々なセキュリティリスクを生み出しています。
この医療機関のケースですと、数年前に外部事業者が利用しているVPN業者より、脆弱性が発見されたので、パッチをアップデートしてくださいという案内がありました。しかし、パッチのアップデートをすることなく、脆弱性は放置されていました。その結果、脆弱性を衝いて不正侵入が発生し、IDとパスワードも突破され、マルウェアが仕込まれたのです。この時点で外部事業者のネットワーク環境はマルウェアに汚染されています。医療機関は本来閉域網があり、感染は発生しないはずでしたが、外部事業者と医療機関をつなぐ常時接続のRDPで、ファイヤーウォールは不正侵入を許してしまいました。更に医療機関のネットワークサーバーのIDとパスワードが全て共通であったことや、ユーザーすべてに管理権限が付与されていたこと、アカウントロックがされていなかったことから、アンチウイルスソフトがアンインストールされ、全てのサーバーがマルウェアに感染し、暗号化される被害となりました。
まとめ
病院のサイバーセキュリティは、患者の安全と医療の継続性を守るための重要課題です。特に近年では、ランサムウェアや内部不正など、病院特有のリスクが増大しており、対策の必要性は一層高まっています。
本記事では、病院における主なセキュリティリスクと攻撃手口、実践的な対策手段、法的な指針、そして多様な事例を紹介しました。限られたリソースの中でも、段階的な対策やサイバーレジリエンスの構築を進めることで、現実的かつ効果的なセキュリティ強化が可能です。
まずは自院の現状を把握し、小さな一歩から始めることが、医療の安全と信頼を守る第一歩となります。
TXOneにまずお気軽にご相談ください。
医療業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
