武蔵小杉病院のサイバー攻撃、企業と違う深刻度
医療機関へのサイバー攻撃は単なる情報漏洩や業務停止の問題ではない(写真:gandhi / PIXTA)
2026年2月9日、神奈川県川崎市の日本医科大学武蔵小杉病院で、院内システムの一部がランサムウェア攻撃を受ける事案が発生した。
【グラフ】BCPを策定して実際に訓練までしている病院はどのくらい?
ナースコールシステムに障害が生じたものの電子カルテや基幹診療システムへの影響は確認されず、診療は継続された。2月27日には、患者約13万人、職員と21年以降の臨床実習医学生約1700人の個人情報が漏洩したと公表された。
この出来事は、医療機関がサイバー攻撃の標的になっている現実を改めて示すと同時に、対策の状況によって被害の広がりが変わり得ることを示唆している。
医療機関のサイバーリスクは、もはや特別な問題ではない。身近なインフラが侵入口となり得る時代に入っている。
相次ぐ医療機関へのサイバー攻撃
武蔵小杉病院の事例は、決して突発的な出来事ではない。
近年、医療機関を狙ったサイバー攻撃は国内で相次いでいる。21年10月、徳島県のつるぎ町立半田病院がランサムウェア攻撃を受け、電子カルテを含む院内システムが停止。通常診療の再開まで約2カ月を要し、復旧費用は約2億円にのぼった。
侵入口となったのは、外部との接続に使われていたVPN機器だった。VPNとは、インターネット上に仮想的な専用回線を設けて、外部から院内ネットワークに安全に接続するための仕組みだ。
医療機器の遠隔保守や外部システムとの連携に広く使われている。
22年10月には、大阪急性期・総合医療センターが同様の攻撃を受け、電子カルテシステムが停止。救急患者の受け入れを一時停止せざるを得ない事態となった。
この事例では、給食業者との連携システムが侵入口になったとされており、「自院のシステム」だけを守っていても不十分であることを示した。
攻撃の手口として特に多いのが、ランサムウェアと呼ばれるウイルスだ。感染するとシステム内のデータが暗号化され、「元に戻してほしければ身代金を払え」と要求される。
医療機関は患者の命を預かる性質上、「システムが止まっても我慢できる」という選択肢がない。攻撃者はその弱みを熟知したうえで狙いを定めている。
なぜ病院のVPNが狙われるのか
近年の医療機関の被害では、VPN装置などの外部接続機器やリモート保守経路が侵入口となる例が目立つ。
武蔵小杉病院でも、外部接続に用いられていたネットワーク機器の設定や脆弱性について調査が進められていると公表されている。
攻撃者はインターネット上を自動的にスキャンし、脆弱性のあるVPN機器を探し出している。
脆弱性を解消する修正プログラム(パッチ)が適用されずに古いバージョンのまま放置されたVPN機器は、既知の弱点を抱えたまま外部に露出しており、攻撃者にとって格好の入り口となってしまう。
実際、多くの医療機関でVPN機器のアップデートが後回しになっている。更新作業には費用と手間がかかり、「今まで問題なかったから」という意識から対処が遅れがちになっているのだ。
一般企業では、リモートワークの普及に伴いネットワーク環境を刷新する機会があったが、病院は以前からの回線・機器をそのまま使い続けているケースが多く、古い構成のままインターネットに接続されている状況が生まれやすい。
また、VPN以外にも注意すべき侵入経路はある。不審なメールの添付ファイルや偽リンク、そしてログイン時の本人確認を二重に行う「多要素認証」を導入していないアカウントも、攻撃者が好んで利用する経路だ。パスワードが漏れた瞬間にアカウントが乗っ取られるリスクがある。
重要なのは、「VPNが危険」なのではなく、適切な管理がなされていないVPNが危険であるという点だ。
過去の医療機関への攻撃事例では、IDの使い回しや簡易なパスワード、脆弱性を放置した機器が侵入口となったケースが多い。一方で、ネットワーク分離やアクセス制御、多要素認証の導入などの基本対策が講じられていた場合、侵害が一部システムにとどまり、診療への影響を最小限に抑えられた事例もある。
つまり、「やるべきことをやっていなければ突破されるが、やるべきことをやっていれば被害は局所化できる」というのが現実だ。サイバー対策は万能ではないが、確実に影響範囲を変えることができる。
義務化されても、対策が進まない理由
こうした被害の拡大を受け、国も動いた。23年4月1日、医療法施行規則が改正され、病院・診療所・薬局などの管理者に対してサイバーセキュリティ対策を講じることが法的に義務付けられた。
厚生労働省は「医療情報システムの安全管理に関するガイドライン」を改訂し、サイバー攻撃を想定した事業継続計画(BCP)の策定、外部事業者との役割分担の事前取り決め、定期的な訓練の実施などを求めている。
では、現場の実態はどうか。
厚生労働省が25年7月に発表した調査によれば、病院全体の57%がサイバー障害を想定したBCPを策定している(前年は27%)。一方で、実際に訓練まで実施しているのはBCPを策定した病院の38%にとどまる。インシデント発生時の対応チームを設置している病院も約42%だ。
◎BCPを策定して実際に訓練までしている病院は38%
(画像:厚生労働省 医政局医療情報担当参事官室 「病院における医療情報システムのサイバーセキュリティ対策に係る調査」の結果について(病床別分析結果)【2025(令和7)年7月24日】を基に筆者作成)
数字だけ見れば「整備が進んでいる」ように見える。しかし問題の本質は、「書類上は整っているが、有事に機能しない」という状態にある。
役割分担がマニュアルに記載されていても、実際に訓練をしていなければ、いざというときに誰も動けない。「棚に眠るマニュアル」では、患者を守ることはできない。実際のインシデント事例を見ると、被害が限定的にとどまった組織にはいくつかの共通点がある。
• 重要システムのネットワーク分離がなされていた
• アカウント管理が厳格だった
• 初動対応の連絡ルートが事前に決まっていた
完璧な対策ではなくても、基本が徹底されているかどうかが結果を分ける。
一方で、義務化が進んでも対策が追いつかない背景には、医療機関特有の構造的な問題がある。
最も顕著な問題は人材不足だ。 20〜99床規模の小規模病院では、情報システムの専任担当者が「0人」という割合が47%にのぼる。セキュリティの専門知識を持つ人材を確保・育成する余裕が、多くの医療機関にはない。
予算の制約も大きな問題として挙げられる。 厚生労働省の医療経済実態調査(24年度)によれば、一般病院の利益率はマイナス7.3%で、72.7%が赤字経営だ。医療機関の収益は診療報酬によって決まるため、自由に価格を上げることができない。
限られた予算の中で、目に見えにくいセキュリティへの投資は後回しになりがちだ。「攻撃を受けてから考える」という発想が根強く残っている現場も少なくない。
赤字でもできる、現実的なセキュリティ対策
「お金がない」「人がいない」という制約は確かに存在する。しかし、だからこそ重要なのは「何から始めるか」の優先順位を明確にすることだ。
まず、考え方を変えることが出発点になる。サイバー攻撃を100%防ぐことは、現実的ではない。攻撃の手口は年々巧妙になり、どれだけ対策を講じてもリスクをゼロにすることはできない。
セキュリティの専門家の間では、「攻撃を受けることを前提に、被害を最小化して早期に復旧する力」を「サイバーレジリエンス(回復力)」と呼び、その重要性が近年強調されている。
「完全に防ぐ」ではなく、「攻撃を受けても診療を継続できる体制を整えておく」という発想の転換が、今の医療機関には求められている。ポイントは次の5点だ。
① 自院の現状を把握する
ネットワーク構成や、どんな機器・システムが外部と接続されているかを把握することが第一歩だ。棚卸しをするだけでも、対策の優先順位が見えてくる。
② 基本的な侵入経路を塞ぐ
VPN機器のアップデートを怠らない、多要素認証を導入する、不審なメールへの対処を職員に周知する。
これらは高度な技術を必要とせず、比較的低コストで取り組める対策だ。攻撃の多くは、こうした基本的な対策の穴を突いて侵入してくる。
③ バックアップを「本当に使える形」で整備する
多くの医療機関がバックアップを取っているが、「ランサムウェアに感染した際に本当に復旧できるか」を確認している施設は少ない。ランサムウェアはバックアップデータも暗号化の標的にするケースがある。
ネットワークから切り離した形で保管し、定期的に復旧テストを行うことが重要だ。「バックアップがある」と「バックアップで復旧できる」は、まったく別の話だ。
④ 「有事に誰が何をするか」を事前に決め、訓練する
攻撃を受けた際の対応手順を事前に決め、訓練を通じて現場に浸透させておく。マニュアルは「作ること」ではなく「使えること」が目的だ。
⑤ 外部の専門家との連携を「平時に」確保しておく
インシデントが起きてから専門家を探しても、対応開始まで数日かかるケースもある。初動の遅れは被害の拡大に直結する。信頼できる外部の専門家・支援体制を、平時のうちに確保しておくことが、被害を最小化するうえで非常に重要だ。
(画像:筆者提供)
病院へのサイバー攻撃は「命の問題」である
医療機関へのサイバー攻撃は、単なる情報漏洩や業務停止の問題ではない。電子カルテが使えなくなれば、患者の投薬歴やアレルギー情報が確認できなくなる。手術や救急対応が遅れる可能性もある。
大阪急性期・総合医療センターの事例では、攻撃を受けた後に救急患者の受け入れを一時停止せざるを得なかった。地域の中核病院が機能を失えば、その地域全体の医療提供体制に深刻な影響が及ぶ。
「うちは小さいから狙われない」「まだ被害を受けていないから大丈夫」という認識は、今すぐ改める必要がある。攻撃者は、防御が比較的手薄な組織を標的にする傾向がある。
医療機関は患者の個人情報という価値ある情報を大量に保有し、かつ「止められない」という特性から、攻撃者にとって格好の標的となっている。
医療機関へのサイバー攻撃は、「いつか起きるかもしれない問題」ではなく、「いつ起きてもおかしくない問題」になった。
しかし同時に、今回の事例が示しているのは、もう1つの重要な事実である。適切な対策が講じられていれば、被害は局所化できるということだ。診療を守ることは、決して不可能ではない。
サイバーセキュリティは単なるIT課題ではない。地域医療を守るための経営課題であり、患者の命を支える基盤である。
完璧を目指す必要はない。だが、基本を怠ってはならない。攻撃を受けることを前提に、影響を最小化し、早く立ち直る力、すなわちサイバーレジリエンスを高めること。その一歩を、今日から踏み出せるかどうかが、未来の医療の安全を左右する。
問われているのは、インシデントが起きたときの対応力ではなく、起きる前にどこまで備えているかである。
