医療機関が知っておくべきサイバーインシデント対応の基本フロー

 別記事(「医療分野のサイバーセキュリティ」)では、サイバー攻撃の動向やガイドライン・支援制度について解説しました。今回は、「もし自院で攻撃が起きたら、どう動けばよいか」という観点から、インシデント発生時の対応フローとBCP(事業継続計画)での備えについて解説します。

目次 [ close ]
  1. 「攻撃を受けたかも」と気づいたときの初動
  2. どこに報告しなければならないか
  3. 復旧は「元に戻す」ではなく「安全を確認してから戻す」
  4. 平時から整備しておきたいBCP(事業継続計画)
  5. まとめ

「攻撃を受けたかも」と気づいたときの初動

 サイバー攻撃を受けた際に最も大切なことは、「慌てて動かない」ことです。気が動転して電源を切ったり、バックアップから見切りで復元しようとしたりすると、被害が拡大したり、原因究明に必要な証拠が消えてしまうことがあります。

 異常に気づいた段階での行動は、次の順番が基本です。
 (異常に気付いた人の動き)
  1 該当の端末をネットワークから切り離す(LANケーブルを抜く・Wi-Fiをオフにする)
  2 電源は切らない(メモリ上に攻撃の痕跡が残っており、後の調査に役立つ場合があります)
  3 院長・事務長・情報システム担当者へ即報
 (情報システム担当者等の動き)
  4 他の端末・サーバーへの被害拡大がないか確認する
  5 「いつ・何を・誰が・どう対応したか」を時系列で記録し始める
    →この記録(インシデント対応記録)は、その後の報告や保険対応、再発防止にとって非常に重要です。

どこに報告しなければならないか

 医療機関がサイバー被害に遭った場合、対応しなければならない報告先が複数あります。
 院長・事務長・情報システム担当者と言った立場にある方は、いざというときに慌てないよう、あらかじめ把握しておきましょう。 (なお、特に公立、公的な医療機関は設置主体によりそれぞれ報告先があります。)

都道府県・厚生労働省医療法に基づく医療機関として、所管の行政機関への報告が求められる場合があります。
【2026年5月時点の医療機関等がサイバー攻撃を受けた場合の厚生労働省連絡先】
医政局・医療情報担当参事官室
TEL: 03-6812-7837 MAIL: igishitsu×mhlw.go.jp
※迷惑メール防止のため、メールアドレスの一部を変えています。「×」を「@」に置き換えてください。
個人情報保護委員会患者情報の漏えいが確認・疑われる場合、個人情報保護法に基づき、原則72時間以内の速報が義務です。
【2026年5月時点の報告方法】
漏えい等の対応とお役立ち資料 |個人情報保護委員会
警察(所轄の警察署)不正アクセスやランサムウェアによる恐喝行為として被害届の提出を検討してください。
また、ランサムウェアの被害が予想される場合、特に古いタイプのランサムウェアであれば、警察の支援で復元できる可能性があります。(筆者参加の県警主催研修会の情報)
【2026年5月時点の報告方法】(下記サイトの中断辺り)
サイバー事案に関する相談窓口|警察庁Webサイト
※これら機関を通じてNISC(内閣サイバーセキュリティセンター)にも情報提供されます。

 なお、患者さんへの通知についても、情報漏えいが疑われる段階から検討が必要です。「確定してから知らせればよい」と思いがちですが、漏えいリスクを早期に伝えることが信頼の観点からも重要です。

復旧は「元に戻す」ではなく「安全を確認してから戻す」

 感染した端末・サーバーの復旧は、必ず専門業者と連携して進めてください。「バックアップがあるから大丈夫」と自己判断で復元をしてしまおうというのは、危険です。ネットワーク接続された場所にあるバックアップは、本体と同時に暗号化されている、マルウェア観戦している場合があります。
 復旧の手順としては、①侵入経路の特定・閉鎖 ②クリーンな環境への復元 ③動作確認 ④本番環境への移行 という流れが基本です。「とりあえず動けばよい」という判断が二次被害を招くことを、ぜひ念頭に置いておいてください。

平時から整備しておきたいBCP(事業継続計画)

 サイバー攻撃を受けた際に診療を継続・早期再開するためには、平時からのBCP策定が欠かせません。厚生労働省も、医療機関向けにサイバー攻撃を想定したBCP策定の支援資料を整備しています。
 BCPに盛り込んでおきたい主な内容は次のとおりです。
  ・電子カルテが使えなくなった場合の紙運用への切り替え手順
  ・インシデント対応の責任者・連絡体制(担当者不在時の代替を含む)
  ・外部ベンダー・専門業者への緊急連絡先リスト
  ・オフラインバックアップの保管場所と復元手順
  ・職員向けのセキュリティ研修の実施記録
 特に「オフラインバックアップ」は、つるぎ町立半田病院(2021年)や大阪急性期・総合医療センター(2022年)の事例でも、その有無が復旧期間を大きく左右したとされています。外付けHDDやオフサイト保管など、ネットワークから切り離された形でのバックアップ保持を強くお勧めします。

まとめ

 日々の診療に追われる中で、こうした準備を院内だけで進めるのはなかなか難しいのではないでしょうか。そんな中でも「攻撃を受けたらどうするか」を事前に決めておくことが、被害を最小限に抑える最大の対策です。

医療機関のセキュリティ対策のご相談は

みよし市で行政書士開業準備中-ITセカンドオピニオン

アーカイブ

カテゴリー