執筆者:辻 勝
会長税理士
医療機関のサイバー攻撃事例まとめ|中小クリニック向け解説
医療機関のサイバー攻撃事例まとめを先に確認
医療機関のサイバー攻撃事例は、もはや大病院だけの問題ではありません。電子カルテ停止、救急受入制限、個人情報漏えいリスクが同時に起こりうるため、院長や事務長にとっては医療安全と経営継続の両方に直結する問題です。特に中小クリニックは、専任の情報システム担当者を置きにくく、外部ベンダー任せになりやすい点が弱点になりやすいのではないでしょうか。
厚生労働省の公開コンテンツでは、2021年10月31日のつるぎ町立半田病院、2022年10月31日の大阪急性期・総合医療センターの被害が紹介されています。いずれもランサムウェアにより電子カルテが停止し、外来や救急、予定手術などの診療機能に大きな影響が出ました。しかも両事例とも、完全復旧まで相当な時間を要しています。
| 事例 | 発生日 | 主な被害 | 現場への影響 |
|---|---|---|---|
| つるぎ町立半田病院 | 2021年10月31日 | ランサムウェア感染、電子カルテ停止 | 紙カルテ運用への切替、診療継続に大きな支障 |
| 大阪急性期・総合医療センター | 2022年10月31日 | ランサムウェア被害、基幹システム停止 | 救急・外来・手術に影響、復旧まで長期化 |
| 中小クリニックで想定される被害 | 常時リスクあり | 予約、会計、レセプト、画像管理の停止 | 診療縮小、未収金増加、患者離れ |
病院ランサムウェア事例から学ぶべきポイント
つるぎ町立半田病院の事例
厚生労働省の対談記事では、つるぎ町立半田病院が2021年10月31日にランサムウェア被害を受け、電子カルテシステムが停止したことが紹介されています。現場では紙カルテへの切替を余儀なくされ、通常の診療体制から大きく後退しました。
この事例で重いのは、特別に高度な医療DXを進めていたから狙われた、という話ではない点です。記事では、USB運用や端末管理、外部接続の把握、注意喚起情報の未認識など、日常的な運用の弱さが背景にあったことが語られています。つまり、地方病院や中小規模の医療機関でも、管理の綻びが重なると被害は十分起こりうるということです。
大阪急性期・総合医療センターの事例
2022年10月31日には、大阪急性期・総合医療センターでもランサムウェア被害が発生しました。こちらも電子カルテを含む基幹システムに影響が及び、救急診療や外来診療、予定手術に支障が生じました。
規模が大きい医療機関であっても、サプライチェーンや委託先、リモート保守経由のリスクを完全に抑え込むのは簡単ではありません。むしろ、システム構成が複雑なほど、どこが入口になりうるかを院内で把握し切れないという問題があります。「大病院でも被害に遭うなら、クリニックはなおさら備えが必要」という視点が重要です。
なぜ中小クリニックも他人事ではないのか
クリニックは狙われにくい、は誤解
「うちは病床もないし、狙われるほどの規模ではない」と考える院長先生は少なくありません。しかし、実際の攻撃者は知名度よりも、侵入しやすさと身代金回収のしやすさを重視する傾向があります。中小クリニックは、IT専任者不在、兼務体制、旧式OS、外部ベンダー任せという条件が重なりやすく、攻撃者から見ると決して安全な対象ではありません。
また、患者情報は氏名・住所・生年月日だけでなく、保険情報、診療情報、検査結果を含むため、流出時の影響が非常に大きい情報資産です。医療情報は再発行で済まない情報であり、漏えいした場合の説明責任も重くなります。
小規模医療機関ほど属人化しやすい
中小クリニックでは、院長、事務長、外部ベンダーの3者だけでシステム運用が回っているケースが珍しくありません。そのため、誰が何を管理しているのかが曖昧になりやすく、次のような状態が起こります。
- 退職者アカウントが残ったまま
- リモート保守接続の有無を把握できていない
- バックアップの実施状況を院内で説明できない
- 端末一覧やネットワーク図がない
- トラブル時の連絡先が担当者の頭の中にしかない
厚生労働省は小規模医療機関向けガイダンスも公表しており、規模の大小にかかわらず対策を前提にしています。つまり、「小さいから簡易対応でよい」という考え方自体が通用しにくくなっているということです。
立入検査でも確認が進んでいる
令和7年度版の医療機関向けサイバーセキュリティ対策チェックリストでは、立入検査時の確認が明示されています。安全管理責任者の設置、台帳管理、パッチ適用、二要素認証、BCPの整備などが求められており、単なる努力目標では済まなくなっています。
税理士法人 辻総合会計でも、近年は税務や資金繰りだけでなく、「システム停止時に請求や入金がどう止まるか」「閉院や承継時にデータ管理をどうするか」といった相談が増えています。経営管理の一部として、サイバー対策を予算化する視点が必要です。
クリニック ハッキングを招きやすい典型パターン
外部接続の把握不足
医療機器、電子カルテ、画像システム、会計ソフト、レセコンには、保守用の外部接続が設定されていることがあります。ところが、現場では「ベンダーが見ているはず」で止まってしまい、実際にどの回線が開いているのか説明できないケースが少なくありません。
半田病院の対談でも、各端末や保守接続の管理が十分ではなかったことが語られています。まずは院内のシステムと接続経路を見える化しないと、対策の出発点に立てません。
USBや共有フォルダの運用が緩い
USB持込み、共有フォルダの全員閲覧、私物端末からのデータ受渡しは、今でも中小クリニックで残りやすい運用です。便利さを優先すると、感染の入口や内部拡散の経路になりやすくなります。
特に画像データや紹介状、学会資料の持ち出しで例外運用が増えると、ルールが崩れやすくなります。例外を放置しないことが重要です。
バックアップが「あるつもり」になっている
最も危険なのは、バックアップが設定されていると思っていても、復元テストをしていないケースです。バックアップ先が常時接続されていれば、感染時に一緒に暗号化される可能性もあります。バックアップは「保存しているか」ではなく「復元できるか」まで確認して初めて意味があります。
医療 サイバー被害を減らすための実務対応
まず優先すべき対策
厚生労働省のチェックリストを見ると、難解な技術論より先に、管理体制と基本運用が重視されています。中小クリニックでは次の順番で整えるのが現実的です。
Step 1: 管理責任者を明確にする
院長任せ、ベンダー任せにせず、院内で誰が安全管理責任者かを決めます。事務長や看護部門責任者が補佐役に入る体制も有効です。
Step 2: 機器とアカウントを棚卸しする
サーバ、端末PC、ネットワーク機器、医療機器、クラウド契約、保守接続、アカウントを一覧化します。台帳がないと、どこを止め、どこを守るべきか判断できません。
Step 3: パッチと不要アカウントを整理する
更新プログラムの未適用、退職者IDの残存、共通IDの使い回しは典型的な弱点です。まず塞ぎやすい穴から塞ぎます。
Step 4: 二要素認証を進める
リモート接続やクラウドサービス、管理者権限には二要素認証を設定します。厚生労働省のチェックリストでも重要項目に位置付けられています。
Step 5: バックアップと復元訓練を実施する
オフラインまたは分離型バックアップを用意し、実際に復元できるか確認します。紙運用への切替手順も合わせて決めておきます。
Step 6: BCPと初動連絡網を作る
サイバー攻撃時に誰へ連絡し、診療をどう継続し、患者へどう案内するかを決めておきます。これがないと初動が遅れ、被害が拡大しやすくなります。
対策の優先順位を比較
| 対策項目 | 重要度 | 中小クリニックでの着手しやすさ | 理由 |
|---|---|---|---|
| 機器・アカウント台帳 | 高い | 高い | 低コストで始められ、全体把握の基礎になる |
| パッチ適用 | 高い | 中程度 | ベンダー調整が必要でも効果が大きい |
| 二要素認証 | 高い | 中程度 | 外部接続の防御力を上げやすい |
| 分離バックアップ | 非常に高い | 中程度 | 被害後の復旧力を左右する |
| BCP策定 | 高い | 高い | 紙運用や連絡体制の整備に直結する |
| 職員研修 | 高い | 高い | フィッシング対策や初動報告の質が上がる |
サイバー攻撃を受けたときの初動対応とは
やってはいけない対応
被害発覚時に慌てて端末を再起動したり、自己判断でネットワークを触ったりすると、証拠保全や復旧判断に悪影響が出ることがあります。特に「とりあえず電源を入れ直す」は危険です。
また、現場が混乱すると、受付、看護師、医師、事務、ベンダーで情報が錯綜しやすくなります。院内の報告経路が決まっていないと、初動の遅れがさらに被害を広げます。
初動対応の基本
発生時は次の流れを基本にすると動きやすくなります。
Step 1: 異常の事実を記録する
いつ、どの端末で、どんな画面が出たかを記録します。写真撮影も有効です。
Step 2: 院内責任者へ即時報告する
担当者個人で抱え込まず、院長や安全管理責任者へ即時連絡します。
Step 3: 外部接続と影響範囲を確認する
ネットワーク遮断の判断は専門家と連携しながら進めます。無理な自己対応は避けます。
Step 4: ベンダー、保守会社、関係機関へ連絡する
電子カルテ業者、ネットワーク業者、必要に応じて所管行政や警察へ連絡します。
Step 5: 診療継続の代替手段へ切り替える
紙カルテ、予約の手書き管理、会計の仮運用など、患者対応を止めない工夫が必要です。
Step 6: 患者説明と院内周知を行う
受付での説明文、電話対応方針、紹介元医療機関への連絡を統一します。
中小クリニックでは、平時にここまで決めておかないと、いざというときに「誰が何を決めるのか」で時間を失いがちです。
よくある質問
Q: クリニックでもランサムウェアの標的になりますか?
Q: 病院の事例は大規模施設だから、診療所には当てはまらないのでは?
Q: 最低限、何から着手すべきですか?
Q: サイバー対策は税務や経営と関係ありますか?
まとめ
- 医療機関のサイバー攻撃事例では、電子カルテ停止が診療継続に直結する
- 2021年の半田病院、2022年の大阪急性期・総合医療センターは中小クリニックにも示唆が大きい
- 小規模医療機関ほど、台帳管理、外部接続把握、バックアップ確認が重要になる
- 令和7年度版チェックリストでは立入検査を意識した対応が求められている
- サイバー対策はIT部門の話ではなく、院長・事務長が担う経営課題である
参照ソース
- 厚生労働省「病院で発生した深刻なサイバー攻撃、当事者が被害と対策の全容を語る(1)」: https://mist.mhlw.go.jp/dialogue-cyber-attacks-01/
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」: https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
- 厚生労働省「医療機関におけるサイバーセキュリティ対策チェックリスト(令和7年5月)」: https://www.mhlw.go.jp/content/10808000/001253950.pdf
- 警察庁「サイバー空間をめぐる脅威の情勢等」: https://www.npa.go.jp/publications/statistics/cybersecurity/index.html
この記事を書いた人
辻 勝
会長税理士
税理士 / 行政書士
税理士法人 辻総合会計の会長。40年以上の実務経験を持ち、相続税・事業承継を専門とする。多くの医療法人・クリニックの顧問を務める。
ご注意事項
本記事の内容は、公開日時点における一般的な情報提供を目的としており、 特定の個人や法人に対する専門的なアドバイスを構成するものではありません。
税務・会計・法務等に関する具体的なご相談については、 必ず資格を持った専門家にご確認ください。 本記事の情報に基づいて行われた判断や行動により生じた損害について、 当事務所は一切の責任を負いかねます。
記事の内容は法令の改正等により変更される場合があります。 最新の情報については、関係省庁の公式サイト等でご確認ください。