「ウチの病院は田舎だから、ハッカーなんて狙わないよ」 そう思っていた病院が、ある日突然、全てのカルテを開けなくなりました。 画面には「金を払え」という脅迫文。 手術もできない、薬も出せない。緊急搬送も断るしかない。 これは映画の話ではなく、大阪や徳島で実際に起きた事件です。 医療機関は今、サイバー攻撃の「格好の標的」になっています。
こんにちは。医療専門弁護士の高橋美穂です。 人の命を預かる医療機器やシステムが乗っ取られることは、殺人行為に等しいです。 国も重い腰を上げ、薬機法や医療法でセキュリティ対策を義務化し始めました。 「知らなかった」では済まされない、法的責任と最新の規制動向について解説します。
第1章:なぜ医療機関が狙われるのか?
1. セキュリティが「ザル」だから
銀行や大企業に比べて、病院の対策は遅れています。 「閉域網(インターネットに繋いでいない)」だから安全だという神話(安全神話)を信じてきました。 しかし、保守業者がUSBメモリを持ち込んだり、給食業者のVPN回線を経由したりして、ウイルスは侵入してきます(サプライチェーン攻撃)。 攻撃者からすれば「入りやすくて、金払いがいいう(人質=人命なので払わざるを得ない)」最高のターゲットなのです。
2. レガシーOSの放置
Windows 7やXPなど、サポート切れのOSを積んだMRIやCTが平気で稼働しています。 医療機器は高額で、法定耐用年数も長いため、簡単には買い替えられないからです。 これが脆弱性の温床になっています。
第2章:法規制の厳格化(IMDRFと薬機法)
1. 医療機器のサイバーセキュリティガイダンス
国際的な枠組み(IMDRF)に合わせ、日本でも審査基準が厳しくなりました。 2023年4月以降、新たに承認申請する医療機器は、サイバーセキュリティ要件(JIS T 81001-5-1など)を満たしていることを証明しなければなりません。 「設計段階からセキュリティを組み込む(Security by Design)」ことが求められます。
2. SBOM(エスボム)の義務化
Software Bill of Materials(ソフトウェア部品表)の略です。 その機器の中に「どんなオープンソースソフトウェアが入っているか」のリストです。 「Log4j」のような重大な脆弱性が見つかった時、自分の製品が該当するかどうかを即座に特定するために必須です。 これを出さないと、もう医療機器として承認されません。
第3章:病院側(管理者)の法的責任
1. 医療法第25条の立入検査
保健所の立入検査項目に「サイバーセキュリティ対策」が追加されました。
- 責任者を決めているか?
- バックアップを取っているか?(オフラインで)
- サーバー室にまた鍵をかけているか? これらができていないと、「改善命令」が出され、従わない場合は業務停止もあり得ます。
2. 善管注意義務違反
もし対策を怠ってウイルスに感染し、患者の個人情報が流出したり、診療が停止して患者が死亡したりした場合。 院長などの管理者は、民事上の損害賠償責任(善管注意義務違反)を問われる可能性があります。 「業者が大丈夫だと言っていた」という言い訳は通用しません。
3. ゼロトラスト・アーキテクチャの導入
これまでは「社内ネットワークは安全」という境界防御モデルでした。 しかし、テレワークやクラウド利用が進む今、境界は消滅しました。 「全ての通信を疑う(Never Trust, Always Verify)」 ID管理を強化し、誰が・どの端末から・どのデータにアクセスしたか、全てログを取る。 この「ゼロトラスト」への移行が、唯一の根本的な解決策です。
第4章:メーカー・ベンダー側の対策
1. PSIRT(ピーサート)の構築
Product Security Incident Response Team。 自社製品のセキュリティを守る専門チームを作らなければなりません。 売った後も、脆弱性が見つかればパッチ(修正プログラム)を配布する義務があります。 この「ランニングコスト」を見積もりに含めておかないと、ビジネスとして破綻します。
2. リモートメンテナンスの再点検
遠隔で機器を直すためのVPN回線。 ここが一番の侵入経路になります。 「ID/パスワードの使い回し」や「多要素認証(MFA)なし」は論外です。 病院のネットワークに穴を開けさせてもらっているという自覚を持ち、最高レベルのセキュリティを担保してください。
第5章:明日から使えるアクション・チェックリスト
あなたの身を守るための盾。
- [ ] 自社製品のSBOM(部品表)を作成し、すぐに提出できるようにしているか?
- [ ] 添付文書(使用上の注意)に、セキュリティに関する警告を記載しているか?
- [ ] 病院との契約書で「ウイルス感染時の責任分界点」を明確にしているか?
- [ ] バックアップは「オフライン(ケーブルを抜いたHDDやテープ)」に残しているか?
- [ ] 従業員に「怪しいメールを開かない」訓練(標的型メール訓練)をしているか?
【実録】ケーススタディ:ランサムウェアからの奇跡の生還
地方公立病院を襲った「8万件」の暗号化
【事件発生:深夜の警告音】 ある地方の基幹病院で、深夜に電子カルテサーバーのアラートが鳴り響きました。 当直のシステム担当者が画面を見ると、全てのアイコンがドクロマークに変わっていました。 「あなたのファイルは暗号化された。元に戻して欲しければ、48時間以内にビットコインで100万ドル支払え」 ランサムウェア(身代金ウイルス)による攻撃でした。 VPN装置の古い脆弱性を突かれ、そこから侵入を許していたのです。
【対応:アナログへの回帰】 院長は即座に決断しました。 「金は払わない。システムを捨てる」 直ちにネットワークケーブルを物理的に切断(抜線)。 翌朝からは、倉庫から埃を被った紙カルテを引っ張り出し、手書きでの診療を開始しました。 レントゲンもフィルム現像できないため、昔ながらの方法で現像液を使って対応しました。 現場は大混乱でしたが、「命を守る」という一点で結束しました。
【教訓:オフラインバックアップの重要性】 幸いだったのは、1週間前のバックアップテープが、サーバーから物理的に取り外されて金庫に保管されていたことです。 これが繋がっていたら、バックアップごと暗号化されていました。 システム再構築に2ヶ月かかりましたが、なんとか通常診療に戻ることができました。 「ITはいつか止まる」。その前提で、紙運用訓練(BCP訓練)をしておくことの重要性を、身を持って示した事例です。
よくある質問(FAQ)
Q. セキュリティ対策はお金になりません。どうやって病院に売れば?
A. 「保険」として売るしかありません。「攻撃されたら数億円の損害が出ます。それを防ぐための月数万円です」と損害額を提示する。あるいは、IT導入補助金(セキュリティ枠)を使う。セキュリティがしっかりしていることが、他社との差別化要因(選定基準)になりつつあります。
Q. 古い機器(レガシー)はどうすれば?
A. ネットワークから切り離してください(スタンドアローン)。USBメモリを使う時は、必ず「ウイルスチェック専用端末」を通してから挿す。この「検疫」のルールを徹底するしかありません。
Q. 身代金を払ったらデータは戻りますか?
A. 戻る保証はありませんし、払えば「カモリスト」に載ってまた攻撃されます。さらに、テロ組織への資金供与として国際法に触れるリスクもあります。警察や弁護士は「絶対に払うな」と指導します。
Q. クラウド(AWSやAzure)は安全ですか?
A. 病院のオンプレミスサーバーより、AmazonやMicrosoftのデータセンターの方が、物理的なセキュリティ(警備員や監視カメラ)もサイバー対策も桁違いに高いです。問題は「設定ミス」です。鍵のかかった金庫(クラウド)を使っているのに、扉を開けっ放しにしている(アクセス権限の設定ミス)ケースが散見されます。運用者のスキル次第です。
Q. パスワード管理はどうすれば?
A. 「付箋に書いてモニターに貼る」のが最悪です。かといって、複雑なパスワードを全部覚えるのは不可能です。パスワードマネージャー(1Passwordなど)を導入するか、そもそもパスワードを使わない「FIDO認証(生体認証など)」に移行すべきです。
Q. 標的型メール訓練は効果ありますか?
A. あります。「怪しいメールをわざと従業員に送り、開封率を測る」訓練です。これを定期的に行うことで、「安易に添付ファイルを開かない」という意識(セキュリティリテラシー)が身につきます。システムで防げない攻撃は、最後は「人の目」で防ぐしかありません。
現場で使える!重要用語解説
- ランサムウェア (Ransomware):
- 身代金要求型ウイルス。データを勝手に暗号化して読めなくし、「元に戻して欲しければビットコインを払え」と脅す。
- VPN (Virtual Private Network):
- 仮想専用線。インターネット上に自分専用のトンネルを作る技術だが、その「入り口」の鍵(脆弱性)が狙われている。
- MDS2 (Manufacturer Disclosure Statement for Medical Device Security):
- 医療機器のセキュリティに関する説明書。メーカーが病院に提出する標準フォーマット。「アンチウイルスソフトは入っていますか?」「パスワードは変更できますか?」などの質問項目がある。
- ISMAP (イスマップ):
- 政府情報システムのためのセキュリティ評価制度。政府が「安全だ」と認定したクラウドサービスのリスト。病院がクラウドカルテなどを選ぶ際、このリストに載っているかどうかが一つの選定基準になる。
- CSIRT (シーサート):
- Computer Security Incident Response Team。組織内でセキュリティ事故が起きた時に対応する専門チーム(消防団)。病院内にこれを設置するのはハードルが高いが、地域の医師会などで共同設置する動きもある。
コラム:性悪説でシステムを守る
「ゼロトラスト(何も信頼しない)」という考え方があります。 これまでは、ファイアウォールの「内側」は安全だと信じていました(境界防御)。 しかし、一度侵入されたらアウトです。 これからは、「内側にも敵がいるかもしれない」「全ての通信を疑う」という性悪説(ゼロトラスト)で設計しなければなりません。 悲しいことですが、それが患者の命を守ることにつながるのです。 デジタル化の光が強くなればなるほど、影(セキュリティリスク)もまた濃くなることを忘れてはいけません。
推薦図書・参考資料
さらに深く学びたい方へのブックガイドです。
- 『医療4.0』(著:加藤浩晃)
- 第四次産業革命が医療に何をもたらすのか。医師であり起業家でもある著者が、テクノロジーと医療の融合を予言した名著です。
- 『2040年の未来予測』(著:成毛眞)
- 人口動態から見た日本の未来。高齢化社会ではなく「多死社会」が到来する中で、どのビジネスが生き残るか。必読です。
大きな成長市場です。
ただし、独力での突破には
限界があります。
ご相談ください
私たちは、医療・ヘルスケア業界で
よい商品・サービスを
必要とする現場に
確実に届けるためのパートナーです。
