クリニックのサイバー保険は必要？補償と保険料目安を解説

クリニックのサイバー保険とは

クリニックのサイバー保険とは、情報漏えい、ランサムウェア、電子カルテ停止、不正アクセスなどが起きた際の事故対応費用や損害賠償、場合によっては休業損失まで補償する保険です。とくに電子カルテやオンライン資格確認を使う診療所では、攻撃を完全にゼロにすることは難しく、「防ぐ対策」と「起きた後の資金手当て」を分けて考える必要があります。厚生労働省は医療情報システム安全管理ガイドライン第6.0版を公表し、令和7年5月版のチェックリストやBCP資料も示しています。医療機関には平時の対策だけでなく、発生時対応まで求められる流れが明確です。

誰にとって何が問題かというと、院長や事務長にとっての問題は、サイバー事故が単なるITトラブルではなく、診療継続・患者対応・届出対応・資金流出を同時に引き起こす点です。実際、厚労省のBCP資料でも、初動対応不足、機器構成の把握不足、バックアップ不備により復旧が難航し、医療機関の機能に重大な影響が生じる事例が示されています。

当法人でも、クリニック経営の相談では「セキュリティソフトを入れているから十分ではないか」という声をよく伺います。しかし、現場で本当に重いのは、事故後に発生するフォレンジック調査、患者説明、謝罪対応、再設定、システム復旧、ベンダー対応、そして診療報酬請求の遅れです。サイバー保険は、これらを資金面で支える仕組みとして検討価値があります。

クリニックにサイバー保険が必要とされる理由

電子カルテ停止は売上減少より診療停止の影響が大きい

一般企業のサイバー事故は売上や顧客対応が中心になりがちですが、医療機関では診療そのものが止まるリスクがあります。電子カルテ、画像保存、予約、会計、オンライン資格確認が止まると、患者受入れや算定、レセプト作成まで連鎖します。厚労省も、サイバー攻撃を想定したBCPを事前に整備するよう求めています。

事故対応費用は賠償金だけでは終わらない

サイバー事故で高額化しやすいのは、損害賠償だけではありません。AIGの公開情報では、法務サービス費用、ITサービス費用、データ復元費用、レピュテーション保護費用、通知費用、危機管理実行費用などが標準補償の中心に置かれています。つまり、保険の主戦場は「賠償」よりも初動と復旧の実費だと理解したほうが実務的です。

小規模クリニックほど人材不足で初動が遅れやすい

IPAの2024年度調査では、全国4,191社を対象にした調査で、OSやウイルス対策ソフトの最新化は約7割まで進む一方、緊急時の体制整備や対応手順の準備は39.8％にとどまりました。診療所も同様に、基本対策は行っていても、事故時の役割分担や外部連絡、復旧優先順位までは決め切れていないケースが少なくありません。

サイバー保険の補償内容とは

クリニックが確認したい補償内容は、次の4群です。商品ごとに名称は異なりますが、比較の軸はほぼ共通です。

サイバー保険 補償内容で外せない項目

損保ジャパンの医療機関向け商品では、ネットワーク遮断対応、調査費用、コールセンター設置、謝罪対応、見舞金・見舞品、データ修復、再発防止コンサル費用などが例示されています。また、オプションで喪失利益・営業継続費用も用意されています。

このため、診療所が見るべきポイントは次のとおりです。

• 原因調査費用が出るか
• 電子カルテや画像データの復旧費用が出るか
• 患者通知、コールセンター、広報対応が出るか
• 委託先や外部ベンダーの支援費用が対象か
• 診療停止時の逸失利益がオプションで付けられるか
• 自己負担額、免責、縮小支払条件が重すぎないか

サイバー保険と情報漏えい保険の違い

「情報漏えい保険」と「サイバー保険」を混同することがありますが、前者は漏えい事故中心、後者は不正アクセス、ランサムウェア、システム停止、ネットワーク中断まで広くカバーする設計が一般的です。クリニックでは、個人情報漏えいだけでなく診療停止リスクが大きいため、名称ではなく補償範囲で比較するのが安全です。

サイバー保険の保険料相場と目安

サイバー保険 保険料 相場はどれくらいか

保険料は、業種、売上規模、病床数、補償額、自己負担額、過去事故歴、外部公開サーバの有無などで変わります。したがって「クリニックは一律いくら」とは言えませんが、公開されている医療機関向け保険料例は目安になります。

損保ジャパンの公開例では、診療所契約で次の水準が示されています。一般診療所の一括払・自己負担額なしの例で、プラン1が年間40,800円、プラン2が61,960円、プラン3が77,610円です。歯科診療所では年間27,950円から56,620円の例が掲載されています。病院契約では50床で年間178,620円から384,150円、100床で年間235,870円から507,280円の例です。

この公開例から見ると、無床の一般的なクリニックでは、年間4万円台から8万円台程度が入口になりやすいといえます。ただし、喪失利益補償を付ける、補償額を厚くする、複数拠点を含める、委託先やクラウド利用形態が複雑であると、保険料は上がります。あくまで概算であり、見積りで個別確認が必要です。

いくらの保険金額を選ぶべきか

迷いやすいのは保険金額です。実務上は、次の順で考えると整理しやすくなります。

Step 1: 停止したら困る業務を洗い出す

電子カルテ、会計、予約、画像、オンライン資格確認、レセプト請求を一覧化します。

Step 2: 復旧時に外部へ払う費用を見積もる

ベンダー、調査会社、弁護士、通知代行、広報、コールセンターの想定費用を見ます。

Step 3: 何日止まると資金繰りに響くかを確認する

診療報酬の入金サイトも踏まえ、2週間、1か月、2か月止まった場合を試算します。

Step 4: 事故対応費用と休業影響を分けて保険金額を決める

賠償責任だけでなく、事故対応費用枠と利益損失補償の要否を切り分けます。

税理士法人 辻総合会計としては、単に保険料の安さで選ぶより、事故対応費用の広さと、診療停止時の資金繰りへの効き方で選ぶことをおすすめします。

クリニックが保険加入前に確認すべき注意点と選び方

クリニック サイバー保険の選び方

最低限、次の観点で比較してください。

• 医療機関向け設計か
• 事故対応費用が厚いか
• データ復旧が対象か
• 喪失利益補償を付けられるか
• 初動支援窓口が24時間または即時対応か
• 告知項目が現在の運用と整合しているか

保険だけでは不十分な理由

厚労省は、医療情報システムの安全管理ガイドライン、チェックリスト、BCP確認表を公表しており、医療機関に対し継続的な対策整備を求めています。つまり、保険加入そのものがゴールではありません。バックアップ、アカウント管理、多要素認証、委託先契約、連絡網、代替診療フローまで整備して初めて、保険が生きます。

加入判断の目安

次のいずれかに当てはまるなら、加入検討の優先度は高いでしょう。

• 電子カルテやクラウド型予約に強く依存している
• 院内に専任の情報システム担当者がいない
• バックアップ復元訓練を行っていない
• 個人情報の保有件数が多い
• 分院や訪問診療などで端末が分散している
• 一度止まると再診・会計・請求に広く影響する

よくある質問

まとめ

• クリニックのサイバー保険は、情報漏えいよりも事故対応費用と診療停止への備えとして考えると実務に合う
• 厚労省は医療機関向けガイドライン、チェックリスト、BCP資料を公表しており、発生時対応まで求めている
• 補償内容は原因調査、データ復旧、患者通知、賠償、休業損失の順で確認すると比較しやすい
• 公開例では無床診療所で年間4万円台から8万円台程度が一つの目安になる
• 保険だけでは不十分で、バックアップ、権限管理、委託先管理、BCP整備とセットで考えることが重要

参照ソース

• 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）」: https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
• 厚生労働省「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表」: https://www.mhlw.go.jp/content/10808000/001261299.pdf
• 情報処理推進機構（IPA）「2024年度 中小企業における情報セキュリティ対策に関する実態調査」: https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html