電子カルテをサイバー攻撃から守るには？4つの対策と事例3選を紹介 / エムスリーデジカル株式会社

電子カルテをサイバー攻撃から守るには？4つの対策と事例3選を紹介

2023年11月13日

近年、電子カルテの億弱性を狙ったサイバー攻撃が増加しています。とはいえ、サイバー攻撃とはどういったものか、対策や対応はどうするのか、よく分からない方は多いのではないでしょうか。

そこでこの記事では、サイバー攻撃の概要や対策・対応を解説します。実際にあった、電子カルテのサイバー攻撃事例もご紹介するので、自院のセキュリティ対策を高めたい方は、ぜひ参考にしてください。

サイバー攻撃とは

サイバー攻撃とは、電子カルテやパソコンが接続しているネットワークを通じ、システムが破壊されたりデータが盗まれたりすることです。

サイバー攻撃の中でも、ランサムウェアによる被害は近年増加傾向にあります。警察庁によると、令和５年上半期におけるランサムウェアによる被害件数は103件です。

出典：警察庁｜令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について

ランサムウェアとは

ランサムウェアとは、パソコン内のデータやファイルを暗号化して使用できない状態にし、データを復元することと引き換えに金銭を要求する不正プログラムのことです。
令和5年度の警察庁の調査によると「対価を支払わなければ、データを公開する」という二重恐喝（ダブルエクストーション）は、ランサムウェア被害103件のうち65件でした。

海外では、ランサムウェア攻撃の被害に遭った病院が身代金の支払いを拒否したことで、がん患者の写真や機密記録などを犯罪集団が公開した事例もあります。

出典： WIRED｜ランサムウェア集団による“オンライン恐喝”が、さらに凶悪化する新局面に突入した

また、データを暗号化することなく「費用を支払わなければデータを公開する」というノーウェアランサムという手口による被害が、新たに6件確認されています。

出典：警察庁｜令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について

サプライチェーン攻撃

サプライチェーン攻撃とは、標的とする病院からデータを盗んだり金銭を要求するために、セキュリティの弱い関連会社や取引先に不正アクセスを試みるサイバー攻撃です。

サイバー攻撃による病院への影響

国内では、ランサムウェアによる感染被害が増加傾向にあります。サイバー攻撃による病院への影響は、主に以下の3つです。

情報漏洩による損害賠償のリスクがある
復旧に多額のコストがかかる
事業中断のリスクがある

それぞれ解説します。

情報漏洩による損害賠償のリスクがある

電子カルテには、患者の氏名・年齢・疾患名・これまでの診療情報など、重要な情報が一元化されています。サイバー攻撃によって、電子カルテに保存されている患者情報が外部に流出してしまうと、損害賠償につながるリスクが考えられます。

また、個人情報が流出したことで、患者や家族、地域住民からの信頼を失う可能性もあるでしょう。結果として、患者離れにつながり、診療を続けられなくなるケースも出てきます。

復旧に多額のコストがかかる

サイバー攻撃による被害からの復旧には、数千万円規模の多額のコストがかかります。2023年日医総研の「医療機関へのサイバー攻撃の事例研究」では、2021年〜2022年にサイバー攻撃の被害にあった3つの病院へ調査を行い、以下の結果が出ています。

	復旧費用	内訳	サイバー保険の加入
A病院	約5,000万円	データ復旧と新システム購入費用：2,500万円外注業者の費用および院内の人件費：400〜500万円個人情報漏洩対策費：2,000万円	加入あり個人情報漏洩対策費2,000万円はカバー残り3,000万円は持ち出し
B病院	約7,000万円	ダークウェブ調査費用：数百万円サーバーデータ復旧費用：約5,000万円 ※基本料金3,800万円＋成功報酬1,000万円残業代の増加その他の費用：約2,000万円	加入あり補償上限1,000万円残りは持ち出し
C病院	数千万円規模※具体的な金額は不明	フォレンジック調査費用システム再構築費用暗号化データ復元費用システム再設定費用	加入なし

出典：日医総研リサーチレポート No.136｜医療機関へのサイバー攻撃の事例研究：民間病院・診療所の被害事例に学ぶ

保険でカバーされるとはいえ、いずれの病院も復旧に数千万単位のコストがかかっているのが分かります。また、復旧にかかる費用に加え、院内の人員には相応の負荷と労力がかかるでしょう。

事業中断のリスクがある

サイバー攻撃によってシステムが使えなくなるため、病院は復旧までの間、事業中断のリスクがあります。復旧にかかる日数は、データのバックアップ状況や対応人員数などによって異なるでしょう。

日医総研の調査では、サイバー攻撃を受けた3つの病院が普及までにかかった時間を公表しています。具体的な日数や内容は、以下の通りです。

	復旧時間
A病院	診療可能となるまで：１日システム再構築とデータ復旧まで：２週間
B病院	当日早朝に診療可能と判断し、診療は休止せずシステム再構築とデータ復旧まで：２か月間復旧まで紙カルテでの運用
C病院	診療は休止せずデータ復旧は未だ途中（2023年4月11日時点）過去データを参照するために別システムを運用 ※二重の手間とコストが掛かっている

出典：日医総研リサーチレポート No.136｜医療機関へのサイバー攻撃の事例研究：民間病院・診療所の被害事例に学ぶ

実際にあったサイバー攻撃事例3選

ここでは、日本で実際にあったサイバー攻撃の事例3選をご紹介します。

1. 沼津市内の医療機関の事例

2022年10月、静岡県沼津市内にある医療機関が、ランサムウェアによるサイバー攻撃を受け、電子カルテのシステムに障害が発生した事例です。

医療機関のサーバーには「データを暗号化した。解いてほしければ金銭を支払う必要がある」などと英文の脅迫状が届きました。電子カルテには約2,000人分以上の患者データが保存されていましたが使用できないため、残されていた紙カルテでの対応を余儀なくされました。

出典：朝日新聞｜「ファイルを暗号化」「金を払え」　沼津市の医療機関にサイバー攻撃

2. 大阪急性期・総合医療センターの事例

2022年10月、病床数800以上の大阪急性期・総合医療センターがランサムウェア攻撃の被害に遭った事例です。

電子カルテなどの不具合が発生し「全てのファイルは暗号化された」「ビットコインで身代金を支払え」といった脅迫文が見つかりました。ランサムウエアの感染は、医療機関のシステムではなく、給食委託事業者のVPN装置の億弱性を悪用したものでした。

4日前のバックアップデータは残っていましたが、完全な復旧には2カ月を要しました。

出典：日経XTECH｜ランサムウエア被害の大阪の病院、初動から全面復旧まで2カ月間の全貌

3. 徳島県つるぎ町立半田病院の事例

2021年10月、徳島県つるぎ町立半田病院で、ロシア拠点の「Lockbit」というハッカー犯罪集団により、サイバー攻撃にあった事例です。

電子カルテシステムで患者情報を閲覧できなくなり、診療報酬の請求など会計システムも止まり、約2ヶ月間の業務停止を余儀なくされました。VPN装置の億弱性が悪用され、侵入された可能性が高いとされています。

院内のIT担当者が1名だったことや、ベンダーのスキルや知識が不足しており対策が不十分だったと言われています。

出典：日経XTECH｜ランサムウエア攻撃に遭った徳島・半田病院、被害後に分かった課題とは

電子カルテをサイバー攻撃から守るための対策

こうした事例が頻発していることから、厚生労働省や警察庁は医療機関に対し、サイバー攻撃対策について注意を促しています。

出典：厚生労働省｜医療分野のサイバーセキュリティ対策について
出典：警察庁｜中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について

電子カルテをサイバー攻撃から守るための対策は、主に以下の4つです。

セキュリティを強化する
バックアップを行う
システム障害発生時の事業継続計画を策定する
サイバー保険へ加入する

それぞれ解説します。

1. セキュリティを強化する

サイバー攻撃の対策として、セキュリティを強化することが重要です。
セキュリティを強化するためには、以下の対応が有効です。

セキュリティパッチを迅速に適用する
最新のファームウェアの更新を定期的に行う
パスワードを複雑なものにする
パスワードの使い回しを避ける
定期的にパスワードを変更する
不要なアカウントを削除する
アクセス権限を確認する
多要素認証を利用し本人認証を強化する
メールの添付ファイルやURLを不用意にクリックしない
不審メールは組織内に周知する

2. バックアップを行う

サイバー攻撃の対策として、バックアップの活用も有効な手段です。

日医総研が調査したサイバー攻撃を受けた事例では、地域医療連携システムにアップロードしていた自院の診療データを参照できたおかげで、診療をストップする必要がなかった、という状況がありました。

万が一サイバー攻撃の被害にあったとしても、診療のために直ちに必要となる情報を、あらかじめ十分に検討しておくことが求められます。また、ランサムウェア攻撃によって、バックアップデータまで被害が拡大することのないよう、対策が必要です。

バックアップを保存する電磁的記録媒体等の種類、バックアップの周期、バックアップデータを保存した記録媒体を端末及びサーバ装置やネットワークから切り離して保管するなど、院内のIT担当者やベンダーと対策を講じましょう。

3. 事業継続計画を策定する

サイバー攻撃を想定し、システム障害発生時の事業継続計画を策定しておくことも重要です。

日医総研によると、システム障害を想定した非常時行動計画をもとに日頃から机上訓練を行っていた事例では、サイバー攻撃発覚後、慌てることなく直ちに復旧対策に着手できたとの報告があります。この場合、いずれもサイバー攻撃に対する行動計画ではなかったとはいえ、速やかに対応するために重要な役割を果たしていたと言えるでしょう。

サイバー攻撃を受けてデータが消えてしまっても、速やかに業務を継続できるよう、対応手順や連絡体制を整えておくことが重要です。

4. サイバー保険へ加入する

サイバー攻撃のリスクに備え、保険に加入しておくのも1つの手段でしょう。サイバー攻撃の被害にあい、個人情報が漏洩すると、多額な損害賠償費用がかかる可能性も少なくありません。

前述しましたが、サイバー攻撃による復旧作業には数千万円規模の費用がかかり、保険で賄える範囲も限られています。事業を継続するためにも、サイバー攻撃に備えた保険に加入しておくと安心です。

サイバー攻撃を受けた場合の対応

万が一サイバー攻撃を受けた場合、以下4つの対応を速やかに行いましょう。

ネットワークを切断する
所管官庁へ連絡する
外部のバックアップデータを活用する
支払いには要求には応じない

ネットワークを切断する

万が一サイバー攻撃を受けた場合、直ちにネットワークを切断しましょう。操作を続けると、他の機器にもランサムウェアによる感染が拡大してしまうリスクがあります。

被害を最小限にとどめるため、ネットワークは必ず切断してください。

所管官庁へ連絡する

サイバー攻撃を受けた場合だけでなく、疑いがある場合も含め、速やかに厚生労働省へ連絡しましょう。

具体的な連絡先は、以下の通りです。

医療機関等がサイバー攻撃を受けた場合の厚生労働省連絡先

医政局特定医薬品開発支援・医療情報担当参事官室
TEL：03-6812-7837
MAIL：igishitsu×mhlw.go.jp
※迷惑メール防止のため、メールアドレスの一部を変えています。
「×」を「@」に置き換えてください。

引用：厚生労働省｜医療分野のサイバーセキュリティ対策について

また、ランサムウェアの被害にあった場合、最寄りの警察署または各都道府県警察のサイバー犯罪相談窓口に通報・相談が可能です。

連絡先は、以下の通りです。

警察庁・サイバー犯罪相談窓口

外部のバックアップデータを活用する

サイバー攻撃を受けた場合、外部にバックアップしたデータを活用することができます。とはいえ、数世代前までのバックアップデータには、既に不正ソフトウェアが混入している可能性はゼロではありません。

そのため、不用意にバックアップデータから復旧することで、被害を繰り返したり、拡大したりするリスクも考えられます。

バックアップデータの取り扱いは、ITに精通した担当者やベンダーとともに対処することが重要です。

支払い要求には応じない

サイバー攻撃を受けた場合、金銭の支払い要求には応じてはなりません。支払ったからといっても、データが復元されたり、感染が解除される保証はありません。

焦って金銭を支払ってしまうと、さらに別の攻撃を受け、支払い要求を受けるリスクが増えることも考えられます。

まとめ

電子カルテのサイバー攻撃は、近年増加傾向にあり、VPNの億弱性を狙ったケースが少なくありません。日頃からVPNの億弱性を定期的に確認し、セキュリティ強化・定期的なバックアップなどの対策を講じておくことが重要です。

弊社では、クラウド型電子カルテのエムスリーデジカルを提供しています。5,000施設以上の導入実績、100以上のサービス・機器と連携実績があり、利用環境に合わせたご提案が可能です。カルテ単体では初期費用無料、月額11,800円（税抜）から利用開始できます。デジカルは1人でも簡単に導入でき、サポート体制も万全です。無料体験も可能ですので、お気軽にご相談ください。