「もし、明日の朝出勤したら電子カルテが一切開かない状態だったら――」
「患者様の個人情報や職員情報が外部に流出した可能性があると判明したら――」
これは決して仮定の話ではありません。
実際に、ランサムウェア感染により数週間にわたり診療停止を余儀なくされた医療機関が、国内でも相次いでいます。

「医療情報システムの安全管理に関するガイドライン第6.0版への対応が必要なのは分かっているが、日々の診療や人手不足の中で、どこから手をつければよいのか分からない」
多くの医療機関のシステム担当者様、そして経営層の皆様が、こうした不安を抱えているのではないでしょうか。

医療機関を標的としたサイバー攻撃は年々巧妙化・激化しています。ひとたび被害に遭えば、患者様の個人情報漏洩だけでなく、「診療を続けられない」という医療機関として致命的な事態に直結します。

本記事では、医療機関におけるIT-BCP対策の重要性について、医療情報システム安全管理ガイドライン第6.0版の要点を踏まえながら解説します。

医療現場のIT-BCPの具体的な事例のセミナーはこちら

医療現場が直面するリスクと具体的防衛策

日本全国で発生しているランサムウェアの被害に関するデータと、その対策としての医療情報システムの安全管理に関するガイドライン第6.0版の要点を確認していきましょう。

ランサムウェア被害の実態と「バックアップ神話」の崩壊

警察庁が2025年9月に発表した「令和7年上半期のサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの感染経路として最も多かったのは、実に62%を占める「VPN装置からの侵入」でした。次いでリモートデスクトップからの侵入が22%となっており、外部との接続点が最大の弱点となっていることが浮き彫りになりました。医療機器とのWi-fi接続や私物のUSBの接続なども原因となり得ます。

また、復旧までに1ヶ月以上を要したものが合計46%あり、調査・復旧費用の総額が1,000万円以上のものが58%を占めました。ランサムウェア被害に遭うと、これだけの時間と費用が掛かることが分かります。

さらに衝撃的なのが、バックアップに関するデータです。前述の警察庁の調査結果によるとランサムウェア被害に遭った組織の多くがバックアップを取得していたにもかかわらず、その85%が復元できませんでした。 その主な理由は「バックアップデータ自体が暗号化されてしまった（65%）」ためです。

従来の「常時オンライン接続されたバックアップ」では、感染と同時にバックアップも破壊されてしまうため、昨今の対策として「オフラインバックアップ環境の整備」が強く求められています。

医療情報システムの安全管理に関するガイドライン第6.0版の要点

以上のようなサイバー攻撃から医療機関が持つ重要な情報を守るため、2023年5月に厚生労働省より「医療情報システムの安全管理に関するガイドライン第6.0版」が発表されました。主なポイントは以下の3点です。ガイドラインの要点をおさらいしましょう。

1. 外部委託・クラウド利用の整理：クラウドサービスの特徴を踏まえたリスクや対策の考え方、 自院と委託先の責任分界点の明確化。
2. ゼロトラスト型思考への転換： 病院の内部も外部も安全ではないという前提よりセキュリティやバックアップを強化する。
3. 新技術・制度・規格への対応： オンライン資格確認や新興感染症対応など。

本ガイドライン「システム運用編」では、クライアント側、サーバー側、インフラ、セキュリティの4つの観点からどのような対策が必要なのかを示しています。中でも、バックアップについて「数世代バックアップを複数の方式で確保し、その一部は不正ソフトウェアの混入による影響が波及しない手段（オフライン等）で管理する」ことが明記されています。復元手順の整備と合わせて、非常に重要なポイントです。

「防御」から「事業継続」へ：IT-BCP策定のポイント

ここからは、2024年6月に厚生労働省が発表しました「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表のための手引き」に基づき、IT-BCPの策定のポイントをご紹介します。

厚生労働省の「サイバー攻撃を想定したBCP策定の確認表のための手引き」に基づき、「平時」「検知」「初動対応」「復旧処理」「事後対応」の5つのフェーズごとのポイントをご紹介します。

1. 平時：非常時に備え、サイバーセキュリティの体制整備を行う
   いつ勤務先の病院がターゲットとなってもおかしくないという昨今、日頃から意識して行動することでサイバー攻撃を受けるリスクを減らす事ができます。
   具体的には、システム構成図の把握、現状のリスクの洗い出し、日頃の職員への教育・訓練により緊急時に備えましょう。
2. 検知：医療情報システム等の障害が見受けられる場合は、早期に医療情報システム部門へ報告し、異常内容の事実確認を行う
   ある企業の調べではサイバー攻撃を受けた「攻撃発生」から、攻撃に気づいた「攻撃発覚」までに平均397日を要しているとの情報があります。情報もあるとおり、攻撃されている事に気づけない（気づき難い）攻撃もある事を知っておく必要があります。
   少しでも異常、障害があるときには早期に気づく仕組みを作り、院内外の連絡先を共有しておく必要があります。
3. 初動対応：迅速に初動対応を進めて、サイバー攻撃による被害拡大の防止や診療への影響を最小にする
   サイバー攻撃におけるIT-BCPの発動タイミングは難しく、判断が遅れると被害が大きく広がってしまう可能性も考えられます。
   早急に的確な判断をするために経営層を巻き込むことが必須となります。また、発動の閾値（判断基準）を決めておくことで判断がしやすくなります。
4. 原因調査・復旧処理：復旧計画に基づいて、医療情報システムの事業者及びサービス事業者等と協力して復旧を行う。証拠保存の観点からバックアップデータ等を取得する
   原因の調査を行わないと復旧してもすぐに同じ攻撃を受ける可能性が考えられます。
   各種ログを調査し原因を解明し、対策を講じる事と復旧作業をセットで進める必要があります。
5. 事後対応：復旧結果の報告を受け、再発防止に向けた検討と再発防止策の周知と実施を進める
   復旧したら終わりではなく、損害の確認、院外への情報漏洩有無も含めての確認と、何度でも攻撃があるものと思い、再発防止に努めなくてはいけません。万が一漏洩が発生した際には、取引先への通知、関係官庁への届出、ホームページやマスコミへの公表を検討しましょう。

「知る」ことから始める、強固な医療IT基盤づくり

本記事では、医療機関を取り巻く厳しいサイバー脅威の現状と、それに対抗するためのガイドライン準拠のポイント、IT-BCP策定の考え方をご紹介しました。

「現状を正しく把握し、できることから対策を始める」ということが重要です。

• 自院のVPN機器の脆弱性は放置されていないか？
• バックアップは「オフライン」で管理されているか？
• 万が一の時、誰がBCP発動を判断するのか？

この機会にぜひ一度院内で確認して頂き、情報共有や改善検討をしてみてください。