市立奈良病院で電子カルテ等の情報システムに障害が発生し、診療制限や手書き運用を余儀なくされたと報じられました。原因はサイバー攻撃の可能性があるとされ、医療現場の「止められない業務」がデジタル依存の高まりとともに脆弱性を抱えている現実を浮き彫りにしています。電子カルテは単なる記録システムではなく、検査・投薬・会計・病棟運用・地域連携にまで連動する“中枢神経”です。中枢が損傷すれば、病院機能そのものが段階的に低下し、最終的には救急受入や手術判断などの医療安全にも影響が及びます。
医療機関がサイバー攻撃の標的になりやすい理由
医療機関はサイバー攻撃者にとって「身代金を支払いやすい」と見なされがちです。第一に、診療停止の社会的影響が大きく、復旧を急がざるを得ません。第二に、電子カルテや検査システム、部門システム、医療機器などが複雑に接続され、古いOSや専用端末が残存しやすい構造があります。第三に、委託先や関連事業者を含むサプライチェーンが広く、侵入経路が多様化します。加えて、医療従事者は患者対応を最優先にするため、セキュリティ運用が後回しになりやすいという組織特性もあります。
「手書き運用」の限界が示すもの
報道では手書き運用の継続が困難である旨も触れられています。紙に戻せば診療が続けられる、という見方は一面では正しいものの、実務上の制約が極めて大きいのが実情です。紙運用では、患者基本情報の照合、過去歴・アレルギー・禁忌の参照、薬剤相互作用チェック、オーダーの伝達、検査結果の集約、会計処理などが人手依存になります。結果として転記ミスや伝達漏れが起きやすく、待ち時間の増大や、医療安全上のリスクが高まります。さらに、紙から電子への「復旧後の再入力」も膨大な負担となり、復旧の足かせにもなります。つまり手書き運用は“最後の手段”ではあっても、“長期運用の代替”にはなりにくいのです。
初動対応で重要な「切り分け」と「証拠保全」
サイバー攻撃が疑われる局面で最も重要なのは、診療継続を確保しつつ、被害拡大を止め、復旧判断に必要な情報を欠損させないことです。現場では「まず再起動」「とりあえず復元」といった行動が起きがちですが、ランサムウェア等の場合、ログや痕跡を消してしまい原因究明と再発防止を困難にします。基本は、影響範囲の切り分け(どのネットワーク、どのサーバ、どの端末が影響を受けたか)、通信遮断やセグメント隔離、アカウント・権限の緊急見直し、バックアップの健全性確認、そして必要な証拠保全(ログ、メモリ、ディスクイメージ等)を、専門家・関係機関と連携して進めることです。ここでの判断ミスは、復旧までの時間だけでなく、個人情報漏えいの有無や説明責任にも直結します。
医療BCPは「紙に戻す」だけでは不十分
医療機関のBCP(事業継続計画)は、従来、停電や災害を想定したものが中心でした。しかしサイバー事案では、電気があり建物も無事なのに、情報だけが使えない状態が発生します。このとき必要なのは、紙運用手順の整備に加え、優先診療の定義(救急・透析・分娩・手術などの優先順位)、最小限のデジタル機能を維持する設計(閲覧専用の参照系、別系統ネットワーク、限定端末など)、復旧後のデータ整合(紙記録の取り込み・監査)まで含めた実装可能な計画です。特に「参照だけでもできる」状態を確保できるかどうかで、医療安全の水準は大きく変わります。
再発防止の要点:医療現場で実装しやすい対策から
サイバー対策は理想論だけでは機能しません。医療現場で運用できる形に落とし込むことが重要です。優先度が高い施策は次の通りです。
ネットワーク分離と「横展開」抑止
侵入をゼロにするのは困難です。侵入後の拡散(ラテラルムーブメント)を止める設計が重要になります。電子カルテ系、部門系、医療機器系、事務系、来訪者Wi-Fiなどを明確に分離し、必要最小限の通信のみ許可する方式(ゼロトラスト的な考え方)へ段階的に移行すべきです。
特権ID管理と多要素認証
攻撃者は管理者権限を奪うことで一気に暗号化や破壊を行います。特権IDの棚卸し、共有アカウントの廃止、管理者操作の記録、重要システムへの多要素認証(MFA)を整備するだけでも、被害の規模を大きく抑えられます。
バックアップの“隔離”と復元訓練
バックアップは存在するだけでは不十分で、攻撃者に消されない構造(オフライン/イミュータブル、別権限、別ネットワーク)で守る必要があります。また、復元時間(RTO)と復元地点(RPO)を現実的に測るため、定期的な復元訓練を行い「戻せる」ことを確認する運用が欠かせません。
監視とインシデント対応体制
24時間体制が難しい医療機関は少なくありません。だからこそ、重要ログの集中管理、EDR等による端末監視、外部SOCの活用、休日夜間の連絡系統、意思決定者の権限委譲など、初動を遅らせない体制づくりが必要です。
患者・地域への説明責任と信頼回復
医療機関にとって信頼は生命線です。診療制限が発生した場合、患者や地域医療機関、行政への情報提供は迅速かつ正確でなければなりません。一方で、原因究明が途上の段階で断定的な発表をすると、後に訂正が必要となり、混乱を招きます。発表では「何が使えないのか」「安全性に直結する影響の有無」「受診前に確認すべき事項」「復旧見込み(暫定でも)」を中心に、事実と推定を分けて伝えるべきです。個人情報漏えいの可能性がある場合には、法令・ガイドラインに基づく調査、対象範囲の特定、通知方針、相談窓口の設置まで、段階的に実施する必要があります。
医療DXの前提としてのセキュリティ投資
電子カルテの普及と医療DXが進むほど、医療の質と効率は向上します。しかし同時に、止まったときの影響も拡大します。今回の事案が示す教訓は、セキュリティは「IT部門の課題」ではなく、病院経営と医療安全の課題だという点です。予算・人材・運用を含む継続的な投資、訓練、委託先管理を通じて、平時から“止まっても致命傷にならない設計”へ移行することが不可欠です。医療は社会インフラであり、サイバー攻撃への備えは地域の安心にも直結します。今回の障害が一日も早く収束し、再発防止の取り組みが医療界全体に共有されることが望まれます。
参照リンク:市立奈良病院にサイバー攻撃か 電子カルテなどに影響、診療制限に 手書き運用「限界がある」 – ITmedia