病院におけるサイバー攻撃による情報漏洩のリスクと対策を紹介

近年、病院を狙ったサイバー攻撃が急増しており、診療情報や患者・職員の個人情報が外部に漏洩する深刻なインシデントが各地で発生しています。

ランサムウェアや標的型メール、内部不正まで多様化する中で、攻撃によって電子カルテが使用不能となり診療が停止した事例も報告されています。適切な対応を行うための痕跡が消失する恐れがあるため、日頃の備えと発生時の迅速な対応体制が不可欠です。

本記事では、医療機関が直面するサイバーリスクの実態、情報漏洩の代表的な原因、病院に適した防御策、被害時の初動対応と相談先までを紹介します。

＼医療機関のサイバー攻撃対応に特化したチームが対応中／

病院がサイバー攻撃で狙われる理由

病院がサイバー攻撃の標的となる理由は複数あります。

1. 極めて機微な個人情報の集中管理
   患者や職員の氏名、住所、診療記録、健康保険情報など、価値の高いデータが蓄積されています。これらは闇市場でも高値で取引されるため、侵害されやすくなっています。
2. 24時間稼働が求められる医療システム
   診療や手術、検査予約まで止まると患者の安全に直結するため、攻撃者は身代金要求や業務妨害を行いやすい環境となります。
   実際、医療現場では電子カルテや検査システム停止によって診療が中断するインシデントも起きています。
3. セキュリティ人材・予算が不足しがち
   技術要件の高い医療機関でも、十分なセキュリティ予算や専門人材を確保できていないケースが多く、脆弱性（弱点）を狙われやすい状況です。

病院は個人情報の集約拠点であると同時に、24時間体制で業務継続が求められる重要インフラでもあります。そのため、ひとたびサイバー攻撃を受けると、情報漏洩にとどまらず、診療体制や患者の安全にまで深刻な影響が及ぶおそれがあります。「医療提供そのものを止められる」可能性があることで、攻撃者にとって価値あるターゲットとなっているのです。

病院におけるサイバー攻撃被害事例

以下に、国内で実際に発生した病院向けサイバー攻撃の事例を具体的に解説します。

鹿児島県の国分生協病院でのランサムウェア被害

2024年2月27日深夜、鹿児島県霧島市の国分生協病院で画像管理サーバーがランサムウェア攻撃を受けて正常な運用ができなくなったことが病院公式で発表されました。

サーバー内の診療記録の一部PDFファイルが暗号化され、救急や一般外来の受入に制限が生じたほか、個人情報漏洩の可能性を踏まえて個人情報保護委員会への報告も行われています。その後、仮復旧を経て外来受入が再開されました。

出典：鹿児島医療生活協同統合 国分生協病院

岡山県精神科医療センターの甚大な影響

岡山県精神科医療センターは2024年5月19日、ランサムウェアによるサイバー攻撃を受け、電子カルテを含む総合情報システムが障害を起こしたことを公式で公表しました。

同センターによると、この攻撃によって保存されていた患者情報（氏名・住所・病名など）が一部流出した可能性があり、最大で約4万人分の情報に影響が出たとされています。また県警本部や公的機関への報告が行われました。

出典：岡山県精神科医療センター

岡山県精神科医療センターにサイバー攻撃｜攻撃手口や被害について専門家が解説岡山精神科医療センター及び東古松サンクト診療所がランサムウェアに感染し受けた被害状況やランサムウェアの感染経路、対策を解説します。被害に遭った場合は、調査機関にて被害を早急に調査することが重要です。...

医療機関におけるサイバー攻撃・情報漏洩を防ぐための基本対策

医療機関が取り扱う情報は、個人のプライバシーや生命に関わる極めて重要なデータであるため、サイバー攻撃や情報漏洩を未然に防ぐための対策は必須です。技術的な防御だけでなく、職員一人ひとりの意識や行動もセキュリティ強化には欠かせません。

以下に、病院において特に重要とされる基本的な対策をまとめました。

• アクセス権限制御とアカウントの二要素認証（認証強化）
• 定期的なオフラインバックアップの実施（ランサムウェア対策）
• ファイアウォール・IDS/IPS・ネットワーク分離などの多層防御
• OS・ソフトウェアのアップデートと脆弱性管理
• 医療従事者向けのセキュリティ教育と疑似メール訓練
• 厚生労働省「医療情報システム安全管理ガイドライン」の遵守

これらの対策を継続的に見直し、実践することで、情報漏洩リスクを大幅に低減することが可能です。また、厚生労働省が定めるガイドラインに沿った運用を徹底し、法的・倫理的責任を果たす体制づくりが求められます。

医療機関がサイバー攻撃に遭った場合の対応フロー

病院におけるサイバー攻撃や情報漏洩・マルウェア感染などの重大なインシデントが発生した場合、迅速かつ適切な対応を行うことが、被害の最小化と信頼回復の鍵となります。以下に、発生時に取るべき基本的な対応フローを手順立てて解説します。

1. システム隔離と初動対応

攻撃を受けた端末やサーバーは、速やかにネットワークから切り離し、被害の拡大を防ぎます。Wi‑Fiの無効化やLANケーブルの抜線など、物理的な遮断が基本です。

2. 初期調査と被害範囲の把握

証拠となるログや履歴を残すため、電源は切らずにそのままの状態を保ちます。再起動や復旧操作は行わず、状況把握を優先します。

3. 公的機関への報告

どのシステムが影響を受けたか、個人情報の漏洩があるかなどを調査します。内部のIT担当者だけで対応が難しい場合は、専門業者への相談も検討します。

4. 復旧体制の構築と説明体制の整備

厚生労働省、個人情報保護委員会、自治体など必要な機関に報告を行い、指示に従って対応を進めます。

5. 復旧体制と説明対応の準備

診療再開に向けて安全な復旧計画を立て、職員や患者への説明体制も整えます。混乱を防ぐため、情報共有の方法もあらかじめ決めておくことが重要です。

専門業者に相談する

システム全体の被害調査や証拠保全、公的対応、報告書作成が必要なケースでは外部専門家の関与が不可欠です。適切な対応を行うための痕跡が消失する恐れがあるため、システム再起動や復元操作を急がず、まずは専門家へご相談ください。

DDFでは、病院向けのログ解析・感染経路特定・報告支援まで対応しています。

＼医療情報漏洩の痕跡調査・復旧支援に実績あり／

詳しく調べる際はフォレンジック調査会社に相談を