病院やクリニックの理事長や院長、事務長は「もし自院の電子カルテが（ランサムウェアを含む）サイバー攻撃に遭ったら」と考えたことがあるでしょうか。
電子カルテが使えなくなっても、診療がまったくできなくなるわけではありませんが、医師も看護師も患者情報を入手できないので、普段どおりの業務ができなくなることは間違いありません。
事務職員たちは、診療報酬の請求手続きなど重要業務がすべてストップしてしまいます。
これは患者さんの健康を危険にさらすことになり、経営にも影を落とします。

医療機関のサイバー攻撃被害はすでに起きていて、例えば2021年に四国の病院がランサムウェアに襲われ大きなトラブルに見舞われました。そのコストは少なくとも2億円を要し、完全復旧には2カ月もかかりました。

この記事ではランサムウェアがどのようなもので、医療機関がランサムウェアに襲われるとどうなるのかを解説します。そして、被害を最小限にするためにすべきことを紹介します。
経営のトップと事務方のトップが、まずはランサムウェアを「知ること」が、患者さんと自院を守る第1歩になります。

ランサムウェアとは

ランサムウェアとは、暗号化などでファイルを利用できない状態にし、そのファイルを元に戻す代わりに金銭を要求するマルウェアのことを指します（※1）。

ランサムウェアはシステムを暗号化してしまいます。システムの所有者や正当な利用者は暗号化によって、例えばパソコン内のファイルが開けなくなってしまいます。

攻撃者は「暗号を解除して欲しければ身代金を支払え」と脅すわけです。また、近年のランサムウェアでは、攻撃者が組織内の情報を窃盗した上で、ファイルなどを暗号化・ロックし「これを公開されたくなければデータを暴露する」と脅迫する「二重恐喝」と呼ばれる手口も多くなっています。

ランサムウェアに攻撃されると、脅迫メッセージがポップアップで表示されたり、パソコンの壁紙に強制指定されたり、プリンタから脅迫メッセージが記載された用紙が排出されたりと、メッセージの表示方法はさまざまです。（※2）。

※1：ICT Business Online「ランサムウェアとは」
https://www.ntt.com/bizon/glossary/j-r/ransomware.html

※2：特定非営利活動法人デジタル・フォレンジック研究会「医療」分科会
「医療機関向けランサムウェア対応検討ガイダンス」
https://digitalforensic.jp/wp-content/uploads/2021/11/medi-18-gl02_compressed.pdf

【実例】電子カルテがランサムウェアに感染した時の、診療への影響

病院や診療所がランサムウェアの攻撃に遭い、電子カルテなどが閲覧できなくなると診療にどのような影響が出るのでしょうか。
その実例を紹介します。

2021年に四国の病院で起きたこと

2021年に四国のH病院がランサムウェア・タイプのサイバー攻撃に遭い、電子カルテが使えなくなりました。その結果、医師や看護師が患者情報を閲覧できなくなり、事務職員は診療報酬の請求事務ができなくなりました（※3）。

ランサムウェア感染の発覚は、H病院内の複数のプリンターが一斉に、誰も操作していない英文のメッセージを印刷し始めたことから始まります。英文の内容は「データを盗んで暗号化した。身代金を支払わないとデータをさらす」などと書かれていました。
異変に気がついたH病院のスタッフが電子カルテを操作しましたが、もう動きませんでした。

※3：日経クロステック　https://xtech.nikkei.com/atcl/nxt/column/18/01157/041900059/

被害：新規患者の受け入れ停止。紙カルテに切り替え、薬局からの情報入手で対応

H病院では10年前に紙カルテから電子カルテに切り替え、これに会計システムを連動させて診療報酬の算定や請求業務を行っていました。そのため電子カルテが使えなくなったことで会計システムも機能しなくなり、しばらく収入が得られない状態になりました。

さらに、診療への実害も出ています。電子カルテを導入したシステム会社（以下、ベンダー）が復旧にあたりましたが成果が出ず、H病院は新規の患者を受け入れられなくなりました。収入が得られないだけでなく、収入源すら消えかかったのです。
それでも入院患者さんがいるため医療の提供を継続しなければなりません。カルテが無い中でも診療を進めるため、スタッフは来院した患者さんから手術歴やアレルギー情報などを聞き取り、紙カルテに書いていきました。

患者さんの記憶があいまいな場合は、患者さんが利用している調剤薬局に問い合わせて薬剤服用歴をもとに診察を行いました。

コストは最低2億円、完全復旧までに2カ月

電子カルテの完全復旧には2カ月かかりました。
なぜ2カ月もの時間を要したのでしょうか。当時の復旧までの流れを簡単に振り返ります。

ランサムウェアの感染が発覚したH病院は、すぐに災害対策本部を立ち上げてベンダーに対応を要請しました。

ベンダーは直接被害を受けたH病院のサーバーを調べましたが、自力で暗号を解くことはできなかったため、攻撃者に身代金を払って解除キーを得るしかありません。
ただ、身代金を払ってもデータが戻る保証はないために、断念しています。そうなると、現行のサーバーや電子カルテはほぼ永遠に使えないことになります。
応急処置で導入した紙カルテを使い続けるか、新しい電子カルテを導入するかの2択を迫られたH病院は、もちろん後者を選びました。

H病院災害対策本部は新しいサーバーと新しい電子カルテの導入検討に移ります。しかし、このころ世界的な半導体不足によりサーバーの調達に時間がかかるため、納入に半年かかると言われました。
さらにH病院の事件が全国ニュースになったことで、国内の多くの医療機関が一斉に点検を始めたため、どのベンダーも業務過多となり、H病院に早急にサーバーと電子カルテを導入してくれるベンダーが見つかりませんでした。

そこでH病院災害対策本部は、被害を受けたサーバーを導入したベンダーからサーバーを借り、これまでと同じ電子カルテを新たに導入することにしました。
このコストは2億円。完全復旧は事件が起きてから2カ月後になりました。

クラウド型電子カルテのセキュリティが心配な方は、こちらを参考にしてください
▶︎【無料】CLIUS「図解で分かる クラウド型電子カルテ　セキュリティの仕組み」をダウンロードする

ランサムウェア感染時の問題点1：VPN装置の脆弱性

H病院のサーバーがランサムウェアの攻撃を防ぐことができなかった理由は、VPN装置にあると言われています。
VPNは、インターネット上に仮想の専用回線を設定して、特定の人しか利用できない専用ネットワークを構築します。

これはいわば「安全装置」であり、したがってH病院はセキュリティ対策を講じていたことになります。

ではなぜ攻撃を防ぐことができなかったのか。

VPN装置の脆弱性（プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと）（※4）が大きな原因ではないかと言われています。
サーバー攻撃者は、脆弱性を突く専門家集団のようなものです。サーバーやシステム、ネットワークに脆弱性があれば、簡単にそこから侵入されてしまいます。

※4：総務省　国民のための情報セキュリティサイト「脆弱性（ぜいじゃくせい）とは？」https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html

ランサムウェア感染時の問題点2：バックアップ体制が十分でなかった

H病院事件では、バックアップ体制にも問題がありました。もしバックアップ体制を講じていたら、復旧に2カ月もかからなかったはずです。

さらにH病院災害対策本部は、事件を受けて以下のような段取りを組みました。

1）ベンダーに暗号解除を依頼（したものの暗号解除は失敗）
2）新しいサーバーの導入を検討
3）既存ベンダーにサーバーを借りる

1）と2）の初動に時間がかかってしまったことも、復旧に時間を要したひとつの原因と言えるでしょう。
初動が遅れると被害が拡大するのは、サイバー攻撃事件に遭ったときも同じで、医療機関はこれらに備えておく必要があります。

クラウド型電子カルテのバックアップはどのようになっている？
▶︎【電子カルテCLIUS/クリアス】の場合の「バックアップ」機能について見てみる

その他の医療機関のサイバー攻撃事例

医療機関は、H病院の事例を他山の石とすべきでしょう。

2022年4月には大阪府の病院がランサムウェア型のサイバー攻撃を受けて、やはり電子カルテが閲覧できなくなる状態になりました（※5）。ここでも病院内のプリンターが一斉に英文の脅迫文を印刷したそうです。

2022年1月にも愛知県の病院が同様の被害を受けています（※5）。
2018年には奈良県で、2019年には東京都で、2020年には福島県の大学病院でもサイバー攻撃を受けています（※6）。
もはや医療機関のサイバー攻撃は他人事ではなく、医療機関の経営者や事務長は「次は自分の病院/クリニックかもしれない」と警戒すべき、といえます。

※5：NHK「大阪 藤井寺の病院に身代金要求型サイバー攻撃か カルテ使えず」
https://www3.nhk.or.jp/news/html/20220428/k10013604371000.html

※6：日本医師会総合政策研究機構「日本の医療機関におけるサイバー攻撃の事例」
https://www.jmari.med.or.jp/wp-content/uploads/2022/03/WP465_appendix.pdf

また、最近では、大阪市の総合病院がランサムウェアの攻撃を受けて、電子カルテが使えなくなったことがニュース番組に取り上げられています。これにより、緊急以外の手術や外来診療はすべて一次ストップとなり、甚大な被害を被っています。

しかも、被害に遭ったのはこの病院だけではありません。2022年上半期だけでも、国内における被害は114件。うち9件が医療・福祉関連の施設だと報告されています。

医療・福祉関連施設が狙われる理由としては、主に2つ。1つは、医療機関や福祉関連施設は重要な個人情報を取り扱っているうえ、人命に関わることも多いため、高額の身代金が期待できること。そしてもう1つは、セキュリティー対策が脆弱であることです。

万全の対策を取るには膨大な資金が必要であるため、国をあげての早期対策が求められています。

厚生労働省は医療機関に警戒を呼びかけている

厚生労働省政策統括官付サイバーセキュリティ担当参事官室などは2021年6月に都道府県の担当部署に「医療機関を標的としたランサムウェアによるサイバー攻撃について（注意喚起）」という文書を送付しました（※7）。都道府県から医療機関に呼びかけてもらうための文書です。

同省はこのなかで
●医療機関のランサムウェア被害は増加している
●ランサムウェアに感染すると電子カルテが使えなくなり診療に支障が生じる
●患者の個人情報が盗まれると甚大な被害をもたらす
と警鐘を鳴らしています。

※7：厚生労働省「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」https://www.mhlw.go.jp/hourei/doc/tsuchi/T210630U0010.pdf

推奨されるランサムウェア対策とは

厚生労働省は「注意喚起」のなかで、医療機関に次のような対策を推奨しています。

●ネットワークへの侵入対策を講じる
●インシデント対応体制を構築する
●データとシステムのバックアップ体制を講じる
●情報窃取とリークへの対策を講じる
●医療情報システムにセキュリティ対策を講じる

これらが、医療機関の経営者や事務長などがしなければならないことになります。

ランサムウェアには3つの対策が有効

ランサムウェアを含むサイバー攻撃から自院を守るには、1）組織的、人的対策、2）技術的対策、3）物理的対策が有効になるでしょう。

組織的、人的対策

組織的、人的対策は「まずは足元を固める」という考えに基づきます。組織とスタッフを鍛えてサイバー攻撃に負けないようにしなければなりません。なぜならサイバー攻撃といえども、最後は組織と人が守らなければならないからです。
院内に情報セキュリティポリシーは設置されているでしょうか。情報セキュリティポリシーとは、医療機関や企業などの組織が実施する情報セキュリティ対策の方針や行動指針のことです（※8）。どの脅威からどの情報資産を守るのか、体制、運用、対策基準などを記載します。

こういったものがない病院やクリニックの経営者は、まず情報セキュリティポリシーをつくりましょう。

そして情報セキュリティポリシーができたら、院内のすべてのスタッフのセキュリティ・リテラシーを高めていきます。「すべてのスタッフ」とは医師や看護師、事務職員、看護助手、そしてもちろん派遣社員や掃除スタッフも含みます。
なぜならサーバーを破壊したりパソコンを盗んだりすることは誰でも可能だからです。
まずは情報セキュリティポリシーをスタッフ全員で読み込む研修を開いてはいかがでしょうか。

経営者や事務長が危機感を持つことができたら、その危機感を全スタッフに持ってもらわなければなりません。リテラシーが自然に向上することはなく、危険をリアルに意識できなければ始まりません。

※8：総務省　国民のための情報セキュリティサイト「情報セキュリティポリシーの概要と目的」https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-2.html

技術的対策

病院やクリニックの理事長や院長はほとんどが医師です。事務長も、ITやシステムに詳しい人はそれほど多くないはずです。
そのため医療機関の経営者や事務長は、えてしてセキュリティ関係の技術的なことを専門家に丸投げしがちですが、少なくとも次の対策は自ら指示、確認できるくらいの知識は得ておきたいものです。

●ネットワーク監視装置
●認証サーバーの導入
●サーバーやパソコンのOSを常に最新化する
●ウイルス対策ソフトを常に最新にアップデート
●バックアップ
●サイバーリスク保険

複数のセキュリティ機能をひとつに集約して運用するネットワークセキュリティ対策のことをUnified Threat Management（統合脅威管理、以下、UTM）といいます。
経営者や事務長には、少なくとも一度はUTMやセキュリティ関連の講習会に参加することをおすすめします。

物理的対策

物理的対策とは、防犯カメラを設置したり、ドアの施錠をより頑丈なものにしたり、警報装置を増やしたりすることです。
「情報セキュリティやサイバー攻撃に物理的な対策が必要なのか」と感じるかもしれませんが、例えばパソコンが盗まれて、そのなかに電子カルテやシステムの情報が含まれていれば「筒抜け」状態になります。

また、物理的に患者情報が盗まれても、インターネット経由で患者情報が盗まれても、医療機関の被害は同じです。
物理的対策を情報セキュリティ対策と一緒に強化することで、院内の意識もグッと高まるはずです。

コストをかけず今すぐできる、サイバー攻撃への対策・対応法

上記の3つの対策の他に、自院ですぐに手をつけることができ、さらにコストがあまりかからない方法があります。

紙カルテで運用できるように訓練する

すでに電子カルテでしか仕事をしたことがない医師や看護師は多く存在します。そのような人たちは、急にサイバー攻撃に遭い、紙カルテを使うことになると混乱するはずです。

そのため、院内で紙カルテを使う訓練をしておくことはひとつの対策と言えるでしょう。
電子カルテが万が一ダウンしても、応急処置的にすぐに紙カルテに移行できれば医療を継続できます。

インシデントに強いベンダーを探しておく

サイバー攻撃に遭ったら、まずはベンダー（電子カルテなどのシステムを提供する会社）の担当者を呼ぶことになります。もしその担当者が病院にやってきて「私では対応できません」といったら、別のベンダーを探さなければなりません。

そうであるならば、今からインシデントに強いベンダーを探しておきましょう。
また、これから電子カルテを導入する医療機関であれば、サイバー攻撃に遭ったときの対応を確認してからベンダーを選ぶことをおすすめします。

クラウド型電子カルテのセキュリティが心配な方は、こちらを参考にしてください
▶︎【無料】CLIUS「図解で分かる クラウド型電子カルテ　セキュリティの仕組み」をダウンロードする

もし攻撃されたらまず何をすべきか

情報セキュリティ体制を構築する際、サイバー攻撃を受けた場合の行動パターンも決めておくきましょう。

それには厚生労働省の「医療情報システム等の障害発生時の対応フローチャート」が役立ちます。このフローチャートは以下のURLからダウンロードできます。

■厚生労働省「医療情報システムの安全管理に関するガイドライン　医療情報システム等の障害発生時の対応フローチャート」
https://www.mhlw.go.jp/content/10808000/000844703.pdf

上記にある文言は平易で、読み解くためのにIT知識はそれほど必要ありません。院内のスタッフ研修の資料にもできそうです。

同フローチャートでは、異常を検知したあとの行動（業務フロー）は次のようにしたほうがよいとアドバイスしています。

●異常の検知
↓
●ウイルス感染あり
↓
●ケーブルの切り離し
↓
●関係者への連絡
↓
●確認
↓
●重大な障害がある
↓
●被害拡大の防止（ネットワークの切断や再起動の停止など）
↓
●報告と周知
↓
●確認、指示
↓
●被害状況の調査
↓
●報告
↓
●方針指示
↓
●情報漏えい、医療体制への支障が発覚
↓
●証拠保全
↓
●ベンダーなどに依頼
↓
●報告・確認
↓
●警察への届け出
↓
●復旧
↓
●行政機関への報告
↓
●復旧結果の確認
↓
●再発防止の指示
↓
●法的措置

ランサムウェアなどのサイバー攻撃を受けたらまず何をしなければならないのか。
それは上記の業務フローにすぐに着手して、この業務をよどみなく進めていくことです。

まとめ～攻撃されるのは明日かもしれない

ランサムウェアの脅威を実感できた医療機関の経営者や事務長が行うべきことをおさらいしておきます。

• ネットワークへの侵入対策を講じる
• インシデント対応体制を構築する
• データとシステムのバックアップ体制を講じる
• 情報窃取とリークへの対策を講じる
• 医療情報システムにセキュリティ対策を講じる
• 組織的、人的対策を講じる
• 技術的対策を講じる
• 物理的対策を講じる
• 紙カルテで運用できるようにする
• インシデントに強いベンダーを探す
• 「医療情報システム等の障害発生時の対応フローチャート」を実行できるようにする

やることがたくさんあって一気に取り組むことは難しいかもしれませんが、スピード感は大切です。なぜなら自院が襲われる前に、これらの対策を講じておかなければならないからです。

そして攻撃者が自院を標的にするのは、明日かもしれないからです。
リスクの高さは東京のクリニックでも四国の病院でも変わりありません。

泥棒を院内に入れないようにすることと同じくらいの危機感を持って、セキュリティ対策を強固にしていきましょう。

クラウド型電子カルテのセキュリティが心配な方は、こちらを参考にしてください
▶︎【無料】CLIUS「図解で分かる クラウド型電子カルテ　セキュリティの仕組み」をダウンロードする