病院・医療機関は必読!「医療機関におけるサイバーセキュリティ対策チェックリスト」とは?
index
2025/3/19
病院・医療機関へのサイバー攻撃が増えています。
サイバー攻撃を受けると、電子カルテを始めとする医療データが暗号化されるなどして利用できなくなり、長期間の診療停止につながります。最悪の場合、医療機関としての業務停止(倒産)に追い込まれかねない事態になります。
この記事では、病院・医療機関へのサイバー攻撃の事例をご紹介しながら、厚生労働省が医療機関・事業者向けに公開した「医療機関におけるサイバーセキュリティ対策チェックリスト」とともに、有効なセキュリティ対策について詳しく解説します。
病院・医療機関で多発するサイバー攻撃事例
国内のサイバー攻撃の事例を見ると、日本各地の診療所や病院、医療センターなど、地域や種別に関係なく被害が及んでいます。特に近年増えているサイバー攻撃は、ランサムウェア(身代金要求型ウイルス)によってデータが暗号化され、復元する代わりに身代金を要求されるという被害です。
警察庁サイバー警察局の報告書によると、国内の医療・福祉分野におけるランサムウェア被害は、2021年に7件だったところが、2022年では20件に増加しています。
(参照)警察庁「サイバー事案の被害の潜在化防止に向けた検討会報告書 2023」PDF p6
以降では、近年国内で起こった主な病院・医療機関のセキュリティインシデント事例をご紹介します。サイバー攻撃の中でもいかにランサムウェア被害が多いかがわかります。
| 発生時期 | 地域/病院・医療機関 | サイバー攻撃の種類 |
|---|---|---|
| 2017年 8月 | 福島県/大学病院 | ランサムウェア被害 |
| 2018年 10月 | 奈良県/病院 | ランサムウェア被害 |
| 2019年 5月 | 東京都/医療センター | 不正アクセス |
| 2021年 10月 | 徳島県/病院 | ランサムウェア攻撃 |
| 2022年 1月 | 東京都/病院 | ウイルス感染 |
| 2022年 6月 | 徳島県/病院 | ランサムウェア被害 |
| 2022年 10月 | 大阪府/医療センター | ランサムウェア攻撃 |
| 2022年 10月 | 静岡県/医療機関 | ランサムウェア攻撃 |
| 2022年 12月 | 石川県/病院 | 不正アクセス |
| 2023年 5月 | 三重県/医療機関 | 不正アクセス |
| 2024年 3月 | 鹿児島県/病院 | ランサムウェア攻撃 |
| 2024年 5月 | 岡山県/医療機関 | ランサムウェア攻撃 |
2017年8月 福島県の大学病院でランサムウェア被害
2017年8月、福島県の大学病院で、院内ネットワークにつながった業務用パソコンや医療機器がランサムウェアに感染し、データが暗号化されてロックされたため使用不能になった。
2018年10月 奈良県の病院でランサムウェア被害
2018年10月、奈良県の病院で、電子カルテシステムがランサムウェアに感染し、患者の診療記録が暗号化され参照不能になった。暗号化された電子カルテのデータの復元ができたのは約半年後だった。
2019年5月 東京都の医療センターの職員端末が不正アクセス
2019年5月、東京都の医療センターで運用する医師用端末のメールアカウントへ不正アクセス被害が発生。当該医師に対するスパム攻撃と、メールの送受信があったメールアドレスの流出が確認された。
2021年10月 徳島県の病院でランサムウェア攻撃
2021年10月、徳島県の病院で、電子カルテシステムにランサムウェアが侵入。データが暗号化され、PCが使用不能となり電子カルテが閲覧できず、診療報酬の請求も停止した。
新規での患者の受け入れを停止せざるを得なくなり、通常診療の再開には感染から約2ヶ月を要した。VPN装置の脆弱性に気づかずにいて侵入された可能性が高く、管理体制の課題が浮き彫りとなった。
2022年1月 東京都の病院で院内サーバがウイルス感染
2022年1月、東京都の病院のサーバがコンピューターウイルスに感染し、電子カルテが使えなくなったため一時新規患者の受け付けを停止した。会計システムも停止し、診療費を後日に請求するなどの対応を余儀なくされた。
2022年6月 徳島県の病院でランサムウェアによるシステム侵入被害
2022年6月、徳島県の病院で、システムへランサムウェアが侵入し、電子カルテや院内LANシステムが使用不能となった。外来診療については再来患者に限定し、新規外来は断らざるを得なくなった。
2022年10月大阪府の医療センターでランサムウェア攻撃被害
2022年10月、大阪府の医療センターで、電子カルテシステムに障害が発生し、緊急以外の手術や外来診療を一時停止した。ランサムウェアによるサイバー攻撃で、身代金として暗号資産(仮想通貨)を要求する英語が残されていた。
サーバ内に保存されていた電子カルテはバックアップデータが取られていたが、復旧作業のめどはなかなか立たなかった。
2022年10月静岡県の医療機関でランサムウェア攻撃
2022年10月、静岡県の医療機関で、電子カルテシステムがランサムウェア攻撃を受け、ファイルが暗号化された。そのため、外部のネットワークから隔絶した新たな電子カルテを作成し、残されていた紙のカルテで対応した。そのため、診察までの待ち時間が多少長くなった。
2022年12月石川県の病院で不正アクセス被害
2022年12月、石川県の病院が不正アクセスを受け、電子カルテの一部が閲覧できなくなった。患者の個人情報の流出はなかった模様だが、外来診療や人間ドック・健診で通常より時間がかかったほか、外来の会計システムの運用も停止したため2か月間の診療費請求が止まるなどの被害も出ている。
2023年5月三重県の医療機関で不正アクセス
2023年5月、三重県の医療機関で、Webサイトに不正アクセスがあり、外部サイトへのURLが書き込まれて改ざんされた。Webサイトは、電子カルテを含む医療情報システムとは分離しているため、個人情報の漏えいは確認されず、診療への影響はなかった。
2024年3月鹿児島県の病院でランサムウェア攻撃被害
2024年3月、鹿児島県の病院で、画像管理サーバに不正アクセスがあり、ランサムウェア攻撃を受け、データが暗号化された。そのため、紙のカルテを運用して予約外来や入院患者に対応したが、救急や一般外来の受け入れは制限した。
サイバー攻撃を許した原因として、保守のためのネットワーク機器に外部からの認証なしで接続が可能となっていた設定ミスや、設定されていたパスワードが推測可能な簡単なものだったこと、画像管理サーバにウイルス対策ソフトが設定されていなかったことなどが確認された。
2024年5月岡山県の医療機関でサイバー攻撃の疑い
2024年5月、岡山県の医療機関で、電子カルテを含む総合情報システムがランサムウェア攻撃を受け、電子カルテが閲覧できなった。また、患者の個人情報等が最大4万人分流出した可能性があるが、被害の拡大は確認されていない。
その後医療情報セキュリティの専門家に事案調査を依頼し、2025年2月に調査報告書の公開を行った。これによると、保守用VPNで推測可能なID/PWを使用し、同じものを他の端末でも使いまわしただけでなく、すべてのサーバ、端末ユーザに管理者権限が付与されていた。また、脆弱性が指摘されているVPNのアップデートの実施についても一度も行っていなかった。
医療機関側は、攻撃された当時の杜撰な情報セキュリティ体制の詳細をつまびらかに公表することで、全国の医療情報システムの関係者にも注意を促している。
厚生労働省によるサイバー攻撃対策3つの取り組み
病院・医療機関を狙ったランサムウェアによるサイバー攻撃が相次いでいる問題を受けて、厚生労働省では次の3段階の取り組みを行っています。
- 「医療情報システムの安全管理に関するガイドライン」の公表・改訂
- 都道府県による立入検査
- サイバーセキュリティ対策「チェックリスト」の提示
これらを順番に解説していきます。
「医療情報システムの安全管理に関するガイドライン」の公表・改訂
厚生労働省は「医療情報システム安全管理ガイドライン」の公表・改訂を続けており、2023年5月に第6.0版が公開されました。
参考:厚生労働省「医療情報システムの安全管理に関するガイドライン 第6 . 0版主な改定ポイント(概要)」
ガイドライン6.0版の改訂では、システム管理者だけでなく病院・医療機関の経営層にもサイバーセキュリティ対策の重要性を強く訴えています。具体的には、医療情報システムの運用管理で利用するクラウドサービスの外部提供事業者と責任分担したリスク対策や、外部からの接続をその都度評価して厳密にアクセスを制御する「ゼロトラストネットワーク」の考え方によって適切に対応することが求められています。
医療情報システムの安全管理に関するガイドライン 第6 . 0版主な改定ポイント(概要)
出典: 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6 . 0版主な改定ポイント(概要)」PDF
なお、「医療情報システムの安全管理に関するガイドライン」では、サイバー攻撃が確認された場合に厚生労働省への報告が義務付けられています。また、セキュリティインシデントが発生した際は厚生労働省に初動対応チームの派遣を要請することもできます。
都道府県による立入検査
ガイドラインは「各病院・医療機関でサイバーセキュリティ対応を遵守するように」と求めていますが、罰則規定はありません。そのため、現実的にサイバー攻撃対策をなかなか進められないかもしれません。
そこで、都道府県や国が病院・医療機関のサイバーセキュリティ対策を立入検査し、必要に応じて改善に向けた助言を行う仕組みが整えられています。
サイバーセキュリティ対策「チェックリスト」の提示
都道府県による立入検査で、サイバーセキュリティ対策の不備を指摘されても、「何から手をつければよいのか分からない」ということも少なくないでしょう。そのため、「医療機関におけるサイバーセキュリティ対策チェックリスト」が示され、どのような点をチェックすれば良いかわかるようになっています。
次項では、この「医療機関におけるサイバーセキュリティ対策チェックリスト」について詳しく解説します。
厚生労働省「医療機関におけるサイバーセキュリティ対策チェックリスト」とは
厚生労働省の「医療機関におけるサイバーセキュリティ対策チェックリスト」は、医療情報システムの安全管理に関わるポイントをチェックする内容となっています。「医療機関確認用」と「事業者確認用」がありますが、ここでは「医療機関確認用」をご紹介します。
ランサムウェア被害の感染経路
出典: 厚生労働省「令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリスト【医療機関確認用】」
なお、各項目の詳細を解説したマニュアルも準備されているので、参考にすると良いでしょう。
参考:厚生労働省「令和 6 年度版 医療機関におけるサイバーセキュリティ対策チェックリストマニュアル ~医療機関・事業者向け~」PDF
チェックリストは1ページですが、体制の構築から、医療情報システムの管理・運用、インシデント発生に備えた対応まで、各項目をチェックすることでサイバーセキュリティ対策の現状がわかります。具体的なポイントについて確認していきましょう。
医療情報システムの管理・運用はできているか?
まず、医療情報システムの安全管理責任者を設置していることが前提となります。サイバーセキュリティ対策の担当者を置いた上で、以降の項目を確認していきます。
病院・医療機関の内部だけでなく、システムのメンテナンスやセキュリティを請け負う事業者等への確認も前提となっています。
ネットワーク機器のセキュリティ対策を実施しているか?
次にネットワーク機器にセキュリティ対策が取れているかを確認します。システムやネットワークについての技術的な知識が必要となってくるため、事前に事業者と相談しながら対策するようにしましょう。
インシデント発生時における体制を確認しているか?
セキュリティインシデントの発生時に対応できる体制を事前に準備・確認できているかという点も重要です。チェックリストでは、以下の項目を確認しています。
【医療情報システム全般】
- サーバ、端末PC、ネットワーク機器の台帳管理を行っている
- リモートメンテナンス(保守)を利用している機器の有無を事業者等に確認
- 事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出してもらう
【サーバ】
- 利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している
- 退職者や使用していないアカウント等、不要なアカウントの削除をしている
- アクセスログを管理している
- セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
- バックグラウンドで動作している不要なソフトウェア・サービスを停止している
【端末PC】
- 利用者の職種・担当業務別の情報区分毎のアクセス利用権限の設定をしている
- 退職者や使用していないアカウント等、不要なアカウントを削除している
- セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
- バックグラウンドで動作している不要なソフトウェア及びサービスを停止している
【ネットワーク機器】
- セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
- 接続元制限を実施している
- 組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡体制図がある
- 診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している
- サイバー攻撃を想定した事業継続計画(BCP)を策定している
特に医療機関へのランサムウェア攻撃では、電子カルテが暗号化されて閲覧できなくなり、診療報酬の請求が停止する事案が多く、復旧するまでに時間がかかります。冒頭でご紹介したセキュリティインシデント事例でランサムウェア攻撃の被害に遭った2件の病院・医療機関では、復旧するまでに3〜4ヶ月かかったという報告もあります。
(参考)医療機関はなぜ狙われるのか?~サイバー攻撃被害の事例と、効果的なセキュリティ対策を解説
ランサムウェア被害から復旧までの期間
| 地域/病院・医療機関 | 発生時期 | 復旧時期 |
|---|---|---|
| 徳島県/病院 | 2021年10月 | 2022年1月 診療再開 |
| 大阪府/医療センター | 2022年10月 | 2023年1月 診療再開 |
電子カルテを適切にバックアップしているかなど、医療を継続できる計画(BCP)を事前に策定しておくことも大切です。
病院・医療機関のサイバーセキュリティ対策なら「IIJ Safous ZTA」
病院・医療機関が管理している患者の医療情報は機微性が高く、情報漏えいなどないよう慎重に取り扱わなければなりません。また、電子カルテシステムがランサムウェア攻撃に遭った場合は、患者の生命が危険にさらされる可能性もあります。
IIJでは特に、リモートメンテナンスの用途で外部から病院内ネットワークにアクセスを許可しているケースにおいて、最適なソリューション「IIJ Safous(セーファス)ZTA」をご提供しています。Safousはゼロトラストセキュリティを統合的に実現するサービスで、
- VPNではなくゼロトラストの仕組みを採用し、リモート環境から情報資産にアクセスする際のセキュリティを大幅に強化
- 高度なユーザー認証と権限管理機能を提供し、情報資産への安全なアクセスを実現
- リモート環境側の端末にエージェントは不要、迅速な展開と利用開始を実現
などの特長があります。
病院や医療機関におけるサイバーセキュリティ対策をご検討なら、ぜひ参考にしてみてください。
サービスについてより詳しくは、下記からご参照ください。
「IIJ Safous ZTA」グローバル企業に最適な 統合ゼロトラストセキュリティ
