治まることのないサイバー攻撃
2026年4月22日、市立奈良病院は次のとおり発表しました。
“本日、電子カルテシステムに大規模障害が発生しており、外来診療を制限しております。”
さらに、翌22日の発表では、「外部からのサイバー攻撃と思われる異常な通信が検知されたことを受け、患者様の安全を最優先に考え、現在、電子カルテを含む一部システムを停止し、診療制限を行っております。 」とされており、原因究明はこれからであるものの、今回の大規模障害を「サイバー攻撃」によるものと推測しています。
サイバー攻撃は、最近では、昨年のアサヒビール、アスクルが立て続けに攻撃に合い、セキュリティ対策の整っているはずの大企業でも大きな被害を受けたことが記憶に新しいところです。また、この地方では、2022年にトヨタ系部品メーカーである「小島プレス」が被害に遭い、トヨタ自動車の生産ライン停止となった事件が思い出されます。
医療機関に広がるサイバー攻撃
かつてサイバー攻撃の対象は、医療機関を始めとするライフラインについては、倫理的に対象とされにくいと言われていましたが、ここ数年、医療機関を対象とした攻撃も目立つようになってきました。
(主な被害医療機関)
つるぎ町立半田病院(徳島) — 2021年:電子カルテ停止で約60日間の復旧期間。
大阪急性期・総合医療センター(大阪) — 2022年:外部ベンダー経由の侵入で電子カルテ停止。
岡山県精神科医療センター — 2024年:ランサムウェア被害で復旧に数か月。
武蔵小杉病院(川崎) — 2026年報道の事例(ナースコール系からの情報流出)。
医療機関でのサイバー攻撃対策-ガイドライン
医療機関へのサイバー攻撃に対応するため、厚生労働省は、令和5年4月1日に医療法施行規則の一部の改正し、「サイバーセキュリティを確保するための必要な措置を講じなければならない。」と定め、いわゆる「3省2ガイドライン」への準拠を求めています。
3省2ガイドラインとは、厚生労働省の「医療情報システムの安全管理に関するガイドライン」、経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を指しています。
これらガイドラインは、随時改定されるため、機を見て確認が必要です。なお、執筆時点(2026.4)では、厚生労働省の前者が6.0版、経済産業省・総務省の後者は2.0版が2026年3月に発表されています。
医療情報システムの安全管理に関するガイドライン
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
両方のガイドラインを合わせると非常に膨大な量になってしまいますが、それだけこれをすれば良いという完全な対策は難しいということだと考えられます。
医療機関でのサイバー攻撃対策-支援制度
厚生労働省は、独自に研修の実施や、サイバー攻撃を想定した事業継続計画(BCP)策定のための資料整備、「医療機関におけるサイバーセキュリティ確保事業」の実施、他省庁と連携し「デジタル化・AI導入補助金」の対象されている「サイバーセキュリティお助け隊」の案内をするなどを行っています。
中でも、「医療機関におけるサイバーセキュリティ確保支援事業」では、これまではセキュリティの調査のみを行う事業であったところ、令和8年度予算資料をみると、その調査で明らかになった脆弱性への対応費用も補助されるようになるようです。
医療機関のセキュリティ対策のご相談は
↓
みよし市で行政書士開業準備中-ITセカンドオピニオン
