「電子カルテを入れた」で終わっていないか

電子カルテを導入したクリニックが増えた。診療効率が上がり、レセプトも楽になった。
しかし「導入した」で満足している院長には、一つ確認してほしいことがある。

サイバー攻撃を受けたとき、誰が何を補償するか、理解しているか。

2024年、東京都内のクリニックがランサムウェアに感染し、患者データを暗号化された。
復旧にかかった費用は700万円超。その間、電子カルテにアクセスできず、紙の手書き診療が2週間続いた。

こうした事態が、いまや特殊なケースではなくなっている。

なぜクリニックが標的になるのか

医療機関は、サイバー犯罪者にとって「攻めやすく、支払いやすい標的」だ。

患者データは高値で売れる

クレジットカード情報の単価が数十円であるのに対し、医療情報は1件あたり数百〜数千円で売買されるとされる。
氏名・住所・生年月日・病歴・保険証番号が一セットになった患者データは、なりすまし犯罪や詐欺に悪用できるためだ。

クリニックはセキュリティが手薄

大病院にはITセキュリティの専任担当者がいる。しかしクリニックには通常いない。
医事システムの設定は導入時のまま、パスワードも変えていない——そういう環境がほとんどだ。

診療を止められないプレッシャーがある

「患者を診られなくなる」というプレッシャーは、身代金支払いへの圧力になる。
攻撃者はそれを知っている。

サイバー攻撃保険が補償する3つの領域

サイバー保険（サイバーリスク保険、サイバー攻撃保険とも呼ばれる）は、大きく3つの補償で構成されている。

① 第三者への賠償（患者・取引先への損害）

患者の個人情報が漏洩した場合、院長は患者一人ひとりへの損害賠償責任を負う可能性がある。
個人情報保護法に基づく漏洩報告対応、弁護士費用、賠償金の支払いをカバーする。

漏洩件数が多いほど賠償総額は膨らむ。患者1,000人規模のクリニックで全員分が漏洩すれば、1件1万円の慰謝料でも1,000万円だ。

② 事業中断による損失（診療できない間の損害）

ランサムウェアやシステム障害でカルテが使えない間、診療数が落ちた分の収益減少を補償する仕組みだ。
「感染から復旧まで2週間、通常の30%しか診療できなかった」というケースでの損失をカバーする。

全ての保険で設定されているわけではないため、加入前に「事業中断補償の有無」を確認する必要がある。

③ 事故対応費用（復旧・調査・通知コスト）

不正アクセスの調査費用、データ復旧費用、患者への通知費用（郵便物・コールセンター等）、PR対応費用などが含まれる。
中規模のインシデントでも、調査と通知だけで数百万円のコストになるケースがある。

【注意】ランサムウェアの「身代金」自体は補償されない

ランサムウェアの被害に遭った際、最も注意すべきなのが「身代金」の扱いだ。
攻撃者から要求される身代金の支払い自体は、日本のサイバー保険では原則として補償対象外となっている。犯罪への資金提供を助長しないための措置だ。
保険がカバーするのは、あくまで身代金以外の「データ復旧費用」「調査費用」「第三者への賠償金」などに限られることを肝に銘じておきたい。

電子カルテ事業者との「責任の境界線」

院長が最も誤解しやすいのが、「電子カルテのクラウドは事業者が守ってくれる」という思い込みだ。

事業者の責任と、クリニック側の責任は明確に分かれている。

事業者が責任を持つ範囲

クラウド型電子カルテ事業者は通常、以下の範囲のセキュリティを担保している：

事業者のサービス規約には「事業者の管理範囲を超えた被害（利用者側の端末・ネットワーク起因）については責任を負わない」という趣旨の条項が入っていることが多い。

クリニック側が責任を持つ範囲

一方、以下はクリニック側の管理責任になる：

つまり、クラウド電子カルテを使っていても、「院内の端末が感染して患者データが漏洩した」場合はクリニック側の責任になる。
サイバー保険が必要なのは、この「クリニック側の責任領域」をカバーするためだ。

加入前に確認すべき7つのチェックポイント

サイバー保険を選ぶ際、以下の6点を必ず確認したい。

① 補償の上限額と対象範囲
第三者賠償・事業中断・対応費用の3領域が全てカバーされているか。医療機関向けに調整された補償内容かを確認する。

② 事業中断補償の有無と免責期間
「24時間以上のシステム停止から補償開始」など、免責時間が設定されている保険がある。
クリニックの場合、半日止まれば実害が出るため、免責時間は短いほど良い。

③ 初動対応サービスの有無
保険金の支払いだけでなく、「感染発覚直後に何をすべきか」のガイダンス、専門家派遣、調査サービスがセットになっている保険がある。
インシデント発生時に一人で対応するのは非現実的なため、この付帯サービスは重要だ。

④ 個人情報漏洩時の通知費用が含まれるか
患者数が多いクリニックほど、通知コストは高くなる。郵送・コールセンター対応費用が補償に含まれているか確認する。

⑤ 保険料とデductible（免責金額）のバランス
年間保険料が2〜5万円程度の商品から、規模によっては10万円以上のものまで幅がある。
免責金額（自己負担額）との兼ね合いで実質的な保障レベルが変わる。

⑥ 医療機関向けの実績があるか
一般的なビジネス向けサイバー保険の中には、医療機関特有のリスク（電子処方箋・医療機器連携）を想定していないものもある。
医療機関向け特約・実績のある保険会社を選ぶことが重要だ。

（前略：チェックポイント⑥の直後に追加）

⑦ 保険金が支払われない「免責事由」（重大な過失など）
どんな被害でも無条件で補償されるわけではない。厚生労働省の「医療情報システムの安全管理に関するガイドライン」で求められる最低限の対策を怠っていたり、アップデートを長期間放置していたりした場合、「重大な過失」とみなされ保険金が下りないケースがある。
「どのような過失があると免責（支払い対象外）になるのか」は、加入前に必ず担当者に確認すべき項目だ。

保険の前にやるべき「無料でできる3つのこと」

保険に入ることも重要だが、その前に「攻撃を受けにくい環境を整える」ことが優先だ。

① パスワードの見直し

電子カルテのログインパスワードが初期設定のまま、または単純な文字列のままになっているケースが多い。
8文字以上・英数記号混在のパスワードへの変更は、今日できる最低限の対策だ。
さらに二段階認証が設定できる場合は、必ず有効にする。

② スタッフへの「メール不審リンク」教育

医療機関へのランサムウェア感染経路で最も多いのは、フィッシングメールの添付ファイルや不審なリンクのクリックだ。
「知らない送信元からのメールはリンクをクリックしない」というルールを全スタッフで共有するだけで、リスクは大幅に下がる。

③ 電子カルテのバックアップ確認

クラウド型でも、設定によってはバックアップが取られていないケースがある。
「万一のとき、いつ時点のデータに戻せるか」を今すぐベンダーのサポートに確認しておく価値がある。

まとめ：「入ってるから安心」ではなく「何を補償しているか」を理解する

クリニックにとってサイバーリスクは、もはや「IT担当者がいる大企業の問題」ではない。

電子カルテを導入した時点で、院長はデータ管理の責任者でもある。
事業者が守ってくれる範囲と、自分が守らなければならない範囲を理解した上で、保険という「最後の砦」を用意する——これが現代のクリニック経営で求められるセキュリティへの姿勢だ。

まず今日、電子カルテのベンダー規約を確認してみることから始めよう。
「どこまでが事業者の責任か」が明確になった時点で、必要な保険の範囲が見えてくる。

Mac・Windows・iPadで自由に操作、マニュア ルいらずで最短クリック数で診療効率アップ

オンライン診療機能を搭載 したクラウド型電子カルテ 「CLIUS」

特徴

１．使いやすさを追求したUI・UX ・ゲーム事業で培って来た視認性・操作性を追求したシンプルな画面設計 ・必要な情報のみ瞬時に呼び出すことが出来るため、診療中のストレスを軽減 ２．診療中の工数削減 ・AIによる自動学習機能、セット作成機能、クイック登録機能等 ・カルテ入力時間の大幅削減による患者様と向き合う時間を増加 ３．予約機能・グループ医院管理機能による経営サポート ・電子カルテ内の予約システムとの連動、グループ医院管理機能を活用することにより経営サポート実現 ・さらにオンライン診療の搭載による効率的・効果的な診療体制実現

対象規模

無床クリニック向け 在宅向け

オプション機能

オンライン診療 予約システム モバイル端末 タブレット対応 WEB予約

提供形態

サービス クラウド SaaS 分離型

診療科目

内科、精神科、神経科、神経内科、呼吸器科、消化器科、、循環器科、小児科、外科、整形外科、形成外科、美容外科、脳神経外科、呼吸器外科、心臓血管科、小児外科、皮膚泌尿器科、皮膚科、泌尿器科、性病科、肛門科、産婦人科、産科、婦人科、眼科、耳鼻咽喉科、気管食道科、放射線科、麻酔科、心療内科、アレルギー科、リウマチ科、リハビリテーション科、、、、

詳細を見る