サイバー攻撃時、病院はいつIT-BCPを発動すべきなのか。誰に報告し、どこまでがベンダー責任なのか。
診療継続と経営の両立には、経営層の判断が欠かせません。第4回では、報告体制・BCPの判断・費用と責任分担など、経営視点で特に重要なQ&Aを取り上げます。




Q1 サイバー攻撃を受けたらどこに報告すればいいの?

A1 医療機関がサイバー攻撃を受けた場合は、厚生労働省、個人情報保護委員会、警察へ速やかに報告する


医療機関であれば、まずは厚生労働省に連絡窓口が設けられている1)

サイバー攻撃などにより、患者の個人情報を含む医療情報など個人データの漏洩(漏洩のおそれを含む)などが発生した場合は、個人情報保護委員会への報告が必要となる2)

警察への通報は、最寄りの警察署もしくはサイバー事案担当窓口となる。犯罪捜査はもちろんのこと、さまざまな情報の提供や助言などをもらえる場合があり、調査復旧に有用な情報を得られる場合がある3)



Q2 サイバー攻撃にかぎらずシステム停止はときどき発生するが、IT-BCPをいつ発動すると判断するか?

A2 復旧の見込みや診療・患者サービスへの影響をふまえ、「誰がいつ発動するか」を決めておくことこそがIT-BCPの要諦


システム停止は、残念ながら起きうることである。問題は、その障害発生原因が明らかであり、かつ短時間で復旧する見込みがあるのか、そうではないのか、という判断になると考えられる。

障害発生原因が不明である場合や、復旧見込みが立たない、あるいは長期化すると見込まれる場合は、ただちにIT-BCP を発動すべきである。ランサムメッセージの確認や不正アクセスや通信が確認された場合も同様である。また仮に短時間での復旧見込みであっても、電子カルテシステムや医事会計システムといった基幹システムが停止している場合には、いったん幹部職員などによる情報共有の場を設け状況確認を行う手順を踏むことは重要であろう。一時的な紙運用の発動も視野に入れる必要がある。

つまり、システム停止により診療機能に支障を来す場合や、患者サービスに支障が出る場合などを想定し、誰がどのタイミングでIT-BCPを発動するかをあらかじめ定めておくこそが、IT-BCPなのである。何らかの異常を現場が認識した際に、どのような手順でエスカレーションさせながら、病院としての方針を判断していくかについて、その病院の規模や特性、組織体系などに応じてあらかじめ計画しておくことこそが、事業継続計画であることをご理解いただきたい。

病院として、どのような情報があれば非常時における方針を定められるのかを整理し、事業継続計画のなかで設定しながら、訓練を通じてブラッシュアップしていくことが求められる。診療サービスや患者サービスにおいて、医療安全を確保しながら最善を尽くすために何をすべきかを念頭に入れつつ、それぞれの病院にとって最適なIT-BCP 策定に取り組んでいただきたい。



Q3 サイバー被害に遭った場合、システムベンダーに落ち度があった場合でも、患者への補償や調査復旧費用などの請求は病院負担となる?

A3 システム障害やサイバー被害に伴う費用負担はまず病院が責任をもって担う想定であり、契約内容の確認などで備える


現在の医療は、IT と医療機器に大きく依存しているといわざるをえない。患者からすれば、医療機器の安全な操作を求めるのと同様に、ITの安全な運用を求めるのは当然のことである。

システム障害の状況やシステム業者との契約内容にもよるが、システムを運営管理しながら安全な医療サービスを提供する義務や責任は病院側にある。したがって、患者への補償対応など費用が発生する場合には、ITベンダーとの契約の如何にかかわらず、まずは病院が対応すべきと考えられる。

システムに係る紛争は、簡単に解決できるものではない。システム開発に係る訴訟の場合でも長期化するのが一般的と聞いている。10年の訴訟期間の実例もあるという。ましてやサイバーセキュリティのような判例も、ほぼ皆無と聞いている。それほどシステムに係る紛争は、第三者による判断も難しいものとなる。

システム障害により費用負担が発生する場合は、まずは病院側が負担しなければならないという想定で準備をしておくことが望ましい。その意味では、サイバー保険への加入という選択肢も考慮し検討しておくべきである。

文献
1) 厚生労働省ウェブサイト.医療分野のサイバーセキュリティ対策について.
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html
2) 個人情報保護委員会ウェブサイト.漏えい等の対応とお役立ち資料.
https://www.ppc.go.jp/personalinfo/legal/leakAction/#leak_report
3) 警察庁ウェブサイト.ランサムウェア被害防止対策.
https://www.npa.go.jp/bureau/cyber/countermeasures/ransom.html

著者

粟倉康之 (事務局 統括マネージャー)

書籍のご案内



医療機関のサイバー対策

患者と経営を守るIT-BCPと緊急対応ガイド
医療機関のサイバー対策
セキュリティ専門家と医療現場担当者が答える実践Q&A/実録に学ぶ“備え”の最前線 すぐ使えるツールのダウンロード付き

みんなで備える 医療のIT-BCP
実際にサイバー攻撃を受けた医療機関の事例をもとに、病院経営層、医療情報部門、医療スタッフなど、多職種による対応策を多角的に解説する。IT-BCP構築の基本から、院内教育、訓練方法まで、すぐに実践できる知識とノウハウを惜しみなく提供。現場担当者とセキュリティ専門家によるQ&Aや、すぐに使えるツール(ダウンロード可)も収録し、「何から始めるべきか」がわかる、医療現場のための実践書である。

発行:2025年11月
サイズ:B5判 208頁
価格:3,960円(税込)
ISBN:978-4-8404-8832-7
▼詳しくはこちらから

▶Amazonでの購入はこちら
▶楽天ブックスでの購入はこちら