リサーチレポート

医療機関へのサイバー攻撃の事例研究：
民間病院・診療所の被害事例に学ぶ

坂口 一樹

堤 信之

澤 倫太郎

原 祐一

要　旨

• 本稿は、最近（2021年下半期～2022年上半期）、サイバー攻撃の被害に遭った医療機関を対象とした事例研究である。民間の病院・診療所の３事例を精査し、現状の問題点と将来に向けた課題解決のヒントを抽出した。
• 問題点としては、次の５点が挙げられる。（1）サイバー攻撃からの復旧には多大なコストと労力がかかる（数千万円規模）。（2）医療機関で情報システム管理にあたる人員体制が手薄である。（3）行政から事前に注意喚起がなされていた既知の脆弱性が侵入経路となっている。（4）情報システムやネットワーク機器の販売業者・保守業者との間にサイバー攻撃時の復旧作業や費用負担に関する取り決めがなされていない。（5）サイバー攻撃の被害に遭った医療現場への支援という点で、行政の対応や連携は問題含みである。
• 将来に向けたヒントとしては、（1）サイバー攻撃を想定した非常時行動計画（BCP）の策定が有事に役立ちうること。（2）地域医療連携システムにアップロードした診療データが、有事のバックアップとして活用可能であること。（3）誰もが標的になりうるリスクとして、サイバーリスクに対する経営陣と医療従事者の意識改革が必要なこと、の3点が挙げられる。それらに加えて、聴取した情報を基に、官公庁や公的機関、団体からあるべき支援と情報提供について、具体的にまとめた。
• 以上をベースに考察を加え、（1）行政間の連携を強化し、専門機関と連携して被害現場を支援すべきこと、（2）行政が発信するシステム等の脆弱性情報が医療現場に周知されるまでの流れを再確認すべきこと、（3）BCP策定や机上訓練、対策チェックリストの充実等の現場の対策支援を強化すべきこと、（4）医療機関のセキュリティ対策に関する人材と費用を手当てすべきこと、の4点を提言した。