この書籍の購入・詳細はこちら


2022年10月31日、大阪急性期・総合医療センターを襲った大規模ランサムウェア攻撃。
本書『医療機関のサイバー対策』は、医療を止めずにこの危機を乗り越えた実録と、備えとしてのIT-BCP実践知をまとめた一冊です。
国内企業でのランサムウェア被害が相次ぐなか、医療現場も「対岸の火事」では済まされません。医療現場の視点から、いま伝えたいメッセージをお聞きしました。

編集担当から編著者へのインタビュー

編集担当:
貴センターを襲ったランサムウェア攻撃は、救急診療や予定手術を含む全面的な診療停止を招き、システムの全面復旧まで73日間を要するという、前例のない事態でした。まず、この経験からすべての医療機関が共有すべき「共通のメッセージ」は何でしょうか。

すべての病院関係者へ:サイバー攻撃は「自然災害」と同じ備えが必要

嶋津(総長):
私たちが得た最大の教訓は、「電子カルテ安全神話」は幻想にすぎない、ということです。多くの現場で「システムは止まらない、壊れない」という過信(正常性バイアス)がありましたが、ひとたび攻撃を受ければ、人命に関わる情報を扱う組織にとって、被害は業務停止や患者への影響に直結します。

今回の攻撃は、給食事業者を経由したサプライチェーン攻撃でしたが、これは攻撃者が特定の病院規模を意識してターゲットにしたわけではありません。
今回の事例は、たまたま容易に解錠できる入口(脆弱性のある外部通信機器)から攻撃者が侵入した先が病院であったということに過ぎません。サイバー攻撃は、いつどこで起こってもおかしくない「わがこと」として捉え、平時からの備え(IT-BCP)を構築する姿勢が、すべての職員に求められます。

医療従事者(医師、看護師、薬剤師など)の皆さんへ:紙運用の訓練が患者と経営を守る鍵

編集担当:
診療システムが停止した現場では、どのような問題が発生し、どのような対応が求められましたか。

藤見(救急診療科主任部長):
• 患者安全の危機:薬剤師からは、アレルギー情報や検査値が確認できないことへの「怖くて調剤できない」という不安の声が上がりました。また、手書き処方箋では、誤記や記載方法のばらつきによるインシデント報告も発生しています。

• 紙様式の緊急対応:既存の災害時用の紙様式は数日間程度の利用を想定したものであり、長期対応には耐えられませんでした。そのため、障害発生3日目には、注射薬や内服薬の処方箋を指示簿としても使えるように様式を新たに作成し直す必要がありました。

•求められる備え:バーコード認証が使えない非常時では、フルネームに加え生年月日を発言してもらうなど、確実な患者確認をマニュアル化し、紙カルテ運用訓練を定期的に実施する備えが不可欠です。  

事務担当者の皆さんへ:組織の基盤を守るロジスティクスと外部連携を確立する

編集担当:
事務管理部門は、システム障害時において病院運営を支える中核となりますが、特に重要な役割は何だったでしょうか。

粟倉(事務局統括マネージャー):
事務部門は、危機発生時の初動体制の確立、対外的な広報・調整、そして復旧に向けたロジスティクスの要となります。

• 情報伝達手段の確保: 電子カルテ内の掲示板や院内メールが使えないため、職員全員に情報を行き届かせる手段(メールやSNS、別ネットワーク上のグループウェアなど電子カルテのネットワーク上ではない情報共有手段)を迅速に確保する必要がありました。

• 外部連携の迅速化: 攻撃を受けている可能性のあるネットワーク接続先には、ただちに連絡し遮断させる必要があり、平時からの外部接続リストや緊急連絡先リストを紙媒体で用意しておくことがきわめて重要です。

• 物品と会計の管理: 紙運用によりコピー用紙とトナーが大量に消費されるため、大量発注やコピー機のレンタル契約を検討し、長期化に備える必要があります。また、医事会計システムが全損した場合、システム復旧後に膨大な紙伝票の情報を入力する必要があり、外来の当日会計再開は障害発生から66日目となるなど、会計処理の課題も甚大でした。  

病院システム担当者の皆さんへ:「閉域網だから安全」という過信を捨てる

編集担当:
被害が大規模に拡大した原因と、再発防止のためにシステム部門が最優先で取り組むべき対策について教えてください。

森田(医療情報部長):
被害が拡大した最大の要因は、電子カルテシステムが「閉域網だから安全」という過信のもとで、セキュリティ対策が脆弱であったことに尽きます。

• 脆弱な設定の放置: 侵入経路は、給食事業者が利用していたVPN機器の脆弱性を突かれたサプライチェーン攻撃ですが、院内への被害が拡大したのは、基幹システムベンダーが全ユーザーに管理者権限を広く付与し、かつサーバ群で共通のログインパスワードを使用していたためです。これが攻撃者の「横展開(水平展開)」を容易に許しました。

• 管理のブラックボックス化: システム管理部門が把握していた外部接続は6ヵ所でしたが、調査の結果、医療機器のリモートメンテナンス接続などを含め合計20ヵ所まで増えていた実態が判明しました。情報資産の一元管理と外部接続の監査は必須です。

• 不可欠な防御策: 復旧にあたっては、侵入経路となったRDP接続を禁止するとともに、すべてのサーバと端末を初期化(クリーンインストール)する必要がありました。また、オフラインバックアップが必須です。オンラインバックアップは攻撃者により暗号化される傾向にあるため、オフラインでのデータ保全と、復旧訓練を怠ってはなりません。

経営層の皆さんへ:サイバー攻撃は病院の資金繰りを直撃する。ITガバナンスへの投資も必要

編集担当:
経営的な観点から、今回のシステム障害はどのような影響を与え、経営層はどのような戦略的判断を下すべきでしょうか。

粟倉(事務局統括マネージャー):
長期間の診療制限は、救急車搬入患者数や中央手術室手術件数の大幅な減少、すなわち甚大な収益減少をもたらしました。これに加えて、原因調査、フォレンジック調査、復旧作業、医療機器のウイルスチェックなどに数億円以上の費用が発生しました。レセプト請求が数カ月止まると、経営が立ち行かなくなる可能性もあります。

• ITガバナンスの確立: 脆弱なシステム環境の構築を助長しないよう、システムベンダー任せにせず、組織としてITシステムのリスク管理を行う意識を持ち、契約段階でセキュリティに関する責任分界点を明確にしておくべきです。

• BCPの意思決定: 経営層は、どのシステムを優先して復旧させるか(例:当センターは外来診療の再開を最優先に復旧計画を立案)、そして、脅迫者への対応など、有事の判断(経営判断)の役割を担う必要があります。

• 財務的備え: システム障害やサイバー被害に伴う費用負担は、ベンダーの落ち度の有無にかかわらず、まず病院が責任をもって担うことになります。復旧費用に関する事務手続きの悩みを軽減し、資金繰りの悪化に備えるため、サイバー保険への加入の検討もすすめます。

経験を伝える責務:次の危機を防ぐために

編集担当:
以前の打合せ時に、病院長がお話しされた「私たちには経験を伝える責務がある」という言葉が印象的でした。今回のような被害をほかの医療機関が繰り返さないために、貴センターは今後どのようにこのテーマに向き合っていかれるのでしょうか。

岩瀬(病院長):
私たちは、この経験を「医療現場が共有すべき教訓」として発信すべきと考えてきました。だからこそ今回、書籍というかたちで詳細を記録し公開する決断に至りました。

今後もこの姿勢を継続し、全国の医療機関とともに安全・安心な医療提供体制の構築に貢献してまいります。具体的には、2025年12月に「医療情報サイバーセキュリティシンポジウム」の開催を予定しています。私たちの実例を起点に、IT-BCPの重要性や、多職種による備えのあり方を広く議論する場としたいと考えています。ご参加お待ちしております。


タップして拡大↑
申込先・詳細はこちら


最後に、当センターの事例より1年前(2021年10月)にサイバー攻撃の被害を受けた徳島県つるぎ町立半田病院の須藤泰史氏(病院事業管理者)から、本書についてこのような講評メッセージをいただきましたので、紹介させていただきます。

本書は、内容はもちろんのことですが、構成が素晴らしく、医療関係者の方は目からうろこの気分になるのではないでしょうか。
まず、第1部では、発生直後から復旧までの混乱の様子が手に取るように分かります。各部門からの寄稿というのも斬新で、大阪急性期・総合医療センターが一丸となって対応したという臨場感が伝わってきます。
第2部では、セキュリティ対策の強化の点から、病院だけでなく全業種が参考にしなければならない事案が報告され、最後に一般社団法人ソフトウェア協会板東フェローから、専門家として高圧的にならずに、優しさをにじませながらの鋭い分析と適格なアドバイスには、頭が下がる思いすら感じます。
本当に素晴らしい完ぺきな内容で、ベストセラーに推薦させていただきます。

おわりに:編集室より
「一病院の経験で終わらせてはならない」そんな編著者の思いのもと、一般社団法人ソフトウェア協会にも監修者・共著者として加わっていただきました。第三者の専門的な視点が加わることで、さまざまな医療機関が自施設に引き寄せて読める構成となっています。

また、本書にはすぐに使える「実践ツール」のダウンロード特典も付属しており、何をすべきかが具体的に示されています。
システムの専門家だけでなく、病院で働くすべての人々の「何から始めればよいか」を支える1冊となれば幸いです。



【取材協力】
編著者代表(インタビュー掲載順)

地方独立行政法人 大阪府立病院機構 大阪急性期・総合医療センター
嶋津 岳士(総長)

藤見 聡(救急診療科 主任部長)

粟倉 康之(事務局統括 マネージャー)

森田 孝(医療情報部長)

岩瀬 和裕(病院長)

【Special Thanks】
 須藤 泰史(徳島県つるぎ町立半田病院 病院事業管理者)


2025年11月13日
作成:山形 梢(編集担当)

書籍の案内



医療機関のサイバー対策

患者と経営を守るIT-BCPと緊急対応ガイド
医療機関のサイバー対策
セキュリティ専門家と医療現場担当者が答える実践Q&A/実録に学ぶ“備え”の最前線 すぐ使えるツールのダウンロード付き

みんなで備える 医療のIT-BCP
実際にサイバー攻撃を受けた医療機関の事例をもとに、病院経営層、医療情報部門、医療スタッフなど、多職種による対応策を多角的に解説する。IT-BCP構築の基本から、院内教育、訓練方法まで、すぐに実践できる知識とノウハウを惜しみなく提供。現場担当者とセキュリティ専門家によるQ&Aや、すぐに使えるツール(ダウンロード可)も収録し、「何から始めるべきか」がわかる、医療現場のための実践書である。

発行:2025年11月
サイズ:B5判 208頁
価格:3,960円(税込)
ISBN:978-4-8404-8832-7
▼詳しくはこちらから

▶Amazonでの購入はこちら
▶楽天ブックスでの購入はこちら