はじめに

近年，医療機関を標的としたサイバー攻撃が急増している。特にランサムウエアによる攻撃は深刻で，患者データの暗号化やシステムの停止を引き起こし，診療の中断や患者受入の制限を余儀なくされる事例も報告されている。医療機関にとってサイバー攻撃は，経済的な損失にとどまらず，安全な医療の提供や社会的信用の低下に直結する重大なリスクとなっている。こうした背景を受けて，行政は法令改正やガイドライン整備を通じて対策を進めている。それに従って，医療機関においてもソリューション導入や，IT-BCP（事業継続計画）の制定や強化が進められている。本稿では，サイバー攻撃の現状と，行政および医療機関の対策動向を整理する。

サイバー攻撃の現状

情報処理推進機構（IPA）が毎年公表している「情報セキュリティ10大脅威」^1）でも，組織にとっての脅威としてランサムウエア攻撃がトップに挙げられており，医療機関に限らず深刻な状況が続いている。ランサムウエア攻撃はデータ暗号化による業務妨害にとどまらず，窃取したデータの公開を脅迫する「二重脅迫」型から，さらに窃取した情報をもとに取引先や顧客などへの攻撃や接触を仄めかす「三重脅迫」型も登場している。
国内でも，医療機関が被害に遭い，電子カルテをはじめとした診療システムが利用不能となる事例が報告されている。攻撃の影響は診療の遅延や停止に直結し，患者安全や地域医療体制に影響を及ぼしている。
侵入口となる典型的な要因は，リモートアクセス機器（VPN等）の脆弱性放置，推測容易なID・パスワードの利用，不十分なアクセス権限管理などである。加えて，医療機関は機微な個人情報を日常的に扱うにもかかわらず，情報セキュリティへの対応は診療報酬加算の対象外とみなされていることが多く，医療費予算削減や物価高騰による経営圧迫も重なり，IT・セキュリティへの投資が十分に行われにくい。こうした構造的要因が，医療機関での被害増加の背景となっている。

行政の動向

1．改正医療法施行規則と厚生労働省ガイドライン
こうした状況を受け，2023（令和5）年4月に改正医療法施行規則^2）が施行され，医療機関におけるセキュリティ対策の実施が義務化された。これを受けて，厚生労働省は同年5月に「医療情報システムの安全管理に関するガイドライン」を第6.0版へ改訂し，さらに医療法第25条第1項に基づく立入検査において使用するサイバーセキュリティチェックリストを公開した。2023年度からは立入検査において対応状況を確認する運用が始まり，ガイドライン準拠に実効性を持たせる取り組みが進められている。加えて，2024（令和6）年にはIT-BCPひな形が公開され，医療機関が自らの体制を点検・整備するための実践的なツールが提供されている^3）。

2．個人情報保護法改正
2022（令和4）年改正個人情報保護法4）により，個人情報漏えいへの対応が大きく変わっている。改正後は「漏えいが発生した場合」だけでなく「漏えいの可能性がある場合」にも，個人情報保護委員会（PPC）への報告と本人への通知が義務化されている。報告・通知が必要となるのは「個人の権利利益を害するおそれが大きい」事態であり，(1) 要配慮個人情報が含まれる事態，(2) 財産的被害が生じるおそれがある事態，(3) 不正の目的をもって行われたおそれがある事態，(4) 1000人を超える漏えいなどが発生またはそのおそれがある事態，の4類型である。
特に医療情報は要配慮個人情報に該当するため，1件でも漏えいまたは漏えいの可能性があれば報告・通知義務が発生する。改正前は「望ましい」とされる努力義務にとどまっていたが，改正以降は明確に法的義務として位置づけられ，違反時には行政上の制裁が科される可能性がある。
典型的なケースとして，ランサムウエア攻撃ではデータ窃取と暗号化による脅迫を行うことが多く見られるが，被害施設では「どのデータが持ち出されたか特定できない」場合がある。この場合，漏えいの可能性を合理的に否定できない限り「漏えいの可能性あり」と判断されるため，PPC報告および本人通知の対象となる。医療機関のインシデント対応フローには，厚生労働省への報告と並行して，PPC報告・本人通知の判断プロセスを組み込む必要がある。

3．医療機器のサイバーセキュリティ強化
サイバーセキュリティは医療機器の分野でも強化が進められている。薬機法に基づき定められている医療機器の製造販売承認において品質や安全性を満たすための基準（基本要件基準）の第12条第3項が，2023（令和5）年に改正され，以降の医療機器承認審査においてサイバーセキュリティ対応が必須要件となった。設計・製造段階でのセキュリティ確保は製品の市場投入条件となり，事業者は対応を求められている。
厚生労働省は，事業者向けの「医療機器のサイバーセキュリティに関する手引書」を公表し，リスクアセスメントや脆弱性対応体制，セキュリティアップデートの仕組みを求めている。また，医療機関向けにも「医療機関における医療機器のサイバーセキュリティ確保のための手引書」が示されており，調達時に確認すべき事項や運用時の注意点を具体的に提示している^5）。
医療機器は設計・製造と運用の両面でセキュリティを担保する必要があり，製造販売業者と医療機関双方の責任が明確化されたといえる。一方で，事業者によっては承認要件を形式的に満たすことにとどまり，実運用におけるセキュリティ確保が十分でないケースも散見されており，制度をいかに実効性あるものにしていくかが課題である。

医療機関の対策動向

1．注目されるソリューション
医療分野において昨今，ランサムウエア対策として注目されているソリューションは以下が挙げられる。
バックアップ：近年は変更や改ざんが困難とされるイミュータブル方式を備えた製品が増え，クラウドストレージの活用も広がりつつある。ランサムウエア被害後に「復元できない」事態を防ぐためには，機能面だけでなくオフライン化や多層的なバックアップ設計とともに，定期的なリストア演習が欠かせない。
EDR（Endpoint Detection and Response）：ランサムウエア対策として注目度は高く，従来のウイルス対策製品に置き換える形で導入が進んでいる。ただし，セキュリティ対策製品自体が侵入した攻撃者によって無効化されると効果を失うため，OSの特権管理や管理者IDの防御といった基本対策を組み合わせることが不可欠である。さらにクラウド連携を前提とするため，接続範囲を限定したネットワーク管理も求められ，ネットワーク設計からの見直しも必要となる。
多要素認証（MFA：Multi-Factor Authentication）：ガイドライン上は導入が推奨・求められているものの，現場での普及は依然として進んでいない。また，特権ID管理については十分に意識されていないケースが多く，攻撃者に管理者権限を奪取されるリスクを高めている。今後はアクセス制御の厳格化とあわせて取り組むべき領域といえる。

2．基本対策と調達の見直し
ただし，こうした製品導入だけでは十分ではない。まず，資産管理（機器台帳管理）・ID管理（利用者台帳管理）・権限設計や，OSなどソフトウエアのアップデート適用といった基本対策が十分でなければ，セキュリティを強化するためのソリューションが無力化される場合もある。また，このような基本的な対策が適切に実施されていれば，昨今のランサムウエア攻撃における侵入から侵入後の攻撃展開が進みにくくなるため，極めて有効な対策となりうる。情報セキュリティポリシーや運用管理規程などで明文化し，調達における仕様書や契約に反映させ，委託先を含めたセキュリティ対策を担保することが重要である。
また，経営層が関与する情報セキュリティ管理体制の整備も不可欠である。CISO（Chief Information Security Officer）や医療情報システム安全管理責任者を中心に点検を行うことで，技術的対策と組織運用を両輪として機能させる必要がある。最新ソリューションは基盤整備の上に効果を発揮するものであり，基本対策や調達・体制整備を疎かにしてはならない。

まとめ

医療機関に対するサイバー攻撃は今後も増加が予測される一方，行政による規制強化と支援施策も進んでいる。医療機関は，基本対策を徹底するための調達管理，リスクに応じた製品・ソリューションの選択，そしてBCPの準備を組み合わせ，コストを最適化しつつ持続可能なセキュリティ体制を構築していくことが重要である。

^{●参考文献
1）情報セキュリティ10大脅威 2025.
https://www.ipa.go.jp/security/10threats/10threats2025.html
2）医療法施行規則の一部を改正する省令について.
https://www.mhlw.go.jp/content/10808000/001075881.pdf
3）医療情報システムの安全管理に関するガイドライン　第6.0版. 医療法第25条第1項に基づく立入検査において使用するサイバーセキュリティチェックリスト. サイバー攻撃を想定した事業継続計画（BCP）策定の確認表等.
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
4）個人情報保護法等.
https://www.ppc.go.jp/personalinfo
5）医療機器におけるサイバーセキュリティについて.
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000179749_00009.html}