電子カルテのセキュリティ対策―医療情報を守るための実務ノウハウ
【執筆者】宮田浩行
看護師・介護福祉士。臨床経験15年以上。急性期病院、訪問看護、長期療養施設など幅広い領域で勤務。現在はフリーランスの医療ライターとして活動中。Amazon Kindleにて医療・介護・AI活用に関する著書を15冊出版。
1. なぜ医療情報のセキュリティ対策が急務なのか
日本の医療機関における電子カルテ導入率は、令和5年(2023年)の厚生労働省「医療施設調査」によると一般病院全体で65.6%に達し、400床以上の大規模病院では93.7%に上ります。電子カルテの普及は診療効率を飛躍的に高めた反面、医療情報が集積されたシステムへのサイバー攻撃リスクを増大させています。
独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2025」では、「ランサムウェアによる被害」が2021年から5年連続で組織部門の第1位に選出されています。医療機関を狙った攻撃は、患者の生命に直結する診療停止という最悪の事態を招くため、他業種以上に深刻な問題です。2021年の徳島県つるぎ町立半田病院のランサムウェア被害では、約3ヵ月にわたって通常診療が再開できず、社会的に大きな衝撃を与えました。
厚生労働省は2023年5月、「医療情報システムの安全管理に関するガイドライン 第6.0版」を改訂し、ゼロトラストセキュリティの考え方を取り入れた最新の対策を求めています。医療機関はもはや「情報システムは専門ベンダーに任せればよい」という姿勢ではなく、院内全体でセキュリティ意識を高め、体系的な対策を講じることが不可欠です。
2. 電子カルテのセキュリティリスクを正確に把握する
セキュリティ対策の出発点は、リスクの正確な把握です。電子カルテシステムを脅かす主な脅威について、代表的な3類型を解説します。
1. ランサムウェア攻撃
攻撃者がシステムに侵入してデータを暗号化し、復旧と引き換えに身代金を要求する手口です。医療機関は「患者の命がかかっている」という弱みから支払いに応じやすいとみなされ、標的になりやすい傾向があります。感染経路の多くは、フィッシングメールの添付ファイル開封やVPN機器の脆弱性の悪用です。
2. 内部不正・情報漏えい
職員や委託業者による意図的な情報持ち出し、あるいは過失による誤送信・紛失も重大なリスクです。個人情報保護委員会の報告では、医療・福祉分野の個人情報漏えい件数は増加傾向にあり、外部攻撃だけでなく内部要因による事案も相当数を占めています。アクセス権限の適切な管理がないシステムでは、本来不要な職員が患者情報を閲覧・持ち出せる状態になりがちです。
3. 第三者不正アクセス・サプライチェーン攻撃
セキュリティ対策が手薄な取引先(医療機器メーカー、システムベンダー、医事代行会社など)を踏み台にして医療機関のネットワークへ侵入するサプライチェーン攻撃が増加しています。2022年の大阪急性期・総合医療センターへの攻撃も、給食業者のシステムが侵入口となったことが調査で明らかになっています。
3. 技術的セキュリティ対策:システムとネットワークを守る
1. ネットワークの分離と多層防御
電子カルテシステムのネットワークは、インターネットや院内の一般業務ネットワークから論理的・物理的に分離することが基本です。厚生労働省ガイドライン第6.0版では、「医療情報システム専用のネットワーク区画を設け、外部接続はVPNや専用回線を用いること」を求めています。さらに、ファイアウォール・侵入検知システム(IDS/IPS)・Webアプリケーションファイアウォール(WAF)を組み合わせた多層防御により、単一の防御ラインが突破されても被害を局限化できます。
2. アクセス制御と多要素認証(MFA)の導入
「必要な職員が、必要な情報にのみアクセスできる」という最小権限の原則(Principle of Least Privilege)の徹底が不可欠です。具体的には、役職・職種・担当科に応じたロールベースアクセス制御(RBAC)を設定し、定期的な棚卸しを行います。また、パスワード単独の認証では不十分であり、ICカード認証・生体認証・ワンタイムパスワードを組み合わせた多要素認証(MFA)の導入が推奨されます。米国国立標準技術研究所(NIST)のSP 800-63BではMFAを強く推奨しており、国内の医療機関でも普及が急務です。
3. ソフトウェアの脆弱性管理とパッチ適用
セキュリティインシデントの多くは、既知の脆弱性を放置したシステムへの攻撃によって引き起こされます。OS・電子カルテソフト・関連アプリケーションのセキュリティパッチは、ベンダーの動作確認を経た上で速やかに適用することが重要です。医療機器に組み込まれたレガシーOS(Windows XPなど)は公式サポートが終了しており、ネットワーク分離や仮想パッチ(IPS等による補完的防御)による代替措置が必要です。脆弱性スキャンを定期的に実施し、リスクの高い脆弱性から優先的に対処するプロセスを確立しましょう。
4. データの暗号化とバックアップ体制
保存データ(at rest)と通信中のデータ(in transit)の双方を暗号化することで、情報が漏えいしても内容の解読を防ぎます。特に外部クラウドやリモートアクセス環境ではTLS 1.2以上の暗号化プロトコルを必須とします。バックアップについては、「3-2-1ルール」(3つのコピー、2種類の異なるメディア、1つはオフサイト保管)を基本とし、ランサムウェアによる暗号化被害からの復旧を見据えたオフライン・オフサイトバックアップの確保が不可欠です。バックアップからの復元テストを定期的に実施し、実際に機能することを確認してください。
4. 組織的セキュリティ対策:人とルールで情報を守る
技術的対策がいかに優れていても、それを運用する「人」の問題が対策の穴になります。組織全体での取り組みが技術的対策と同等以上に重要です。
1. 情報セキュリティポリシーの策定と周知
電子カルテを含む医療情報の取り扱いルールを明文化した「情報セキュリティポリシー」を策定し、全職員に周知・遵守させることが組織的対策の出発点です。ポリシーには、パスワード管理規則・持ち込み端末の利用制限・SNSへの患者情報投稿の禁止・インシデント発生時の報告フローなどを具体的に盛り込みます。策定後は形骸化させないよう、少なくとも年1回の見直しと改定を行います。
2. 定期的なセキュリティ教育・訓練
フィッシング攻撃の多くは、受信者が不審なリンクや添付ファイルをクリックすることで始まります。定期的なセキュリティ意識向上教育(Security Awareness Training)と標的型メール攻撃訓練を実施し、職員が実際の攻撃手口を体験的に学べる機会を設けることが効果的です。米国のサイバーセキュリティ機関CISAも、人的要因がセキュリティインシデントの主要因であるとして、継続的なトレーニングを推奨しています。新人研修時の必須プログラムとして組み込むとともに、年1回の全職員対象の更新教育を義務付けましょう。
3. インシデント対応計画(IRP)の整備
サイバー攻撃は「起きるかもしれない」ではなく、「いつか必ず起きる」事象として備えることが現実的な姿勢です。インシデント対応計画(IRP: Incident Response Plan)を事前に策定し、「検知→封じ込め→根絶→復旧→事後分析」の各フェーズで誰が何をすべきかを明確にしておきます。特に、診療継続のための業務継続計画(BCP)とセキュリティインシデント対応を連携させ、紙カルテへの切り替え手順や患者への説明体制なども含めた包括的な計画が求められます。計画は少なくとも年1回の机上訓練(Tabletop Exercise)で検証してください。
4. 第三者機関との契約管理
電子カルテのベンダーや保守業者には、院内の重要システムへの遠隔アクセス権限が与えられている場合があります。委託先との契約にはセキュリティ要件を明記し、アクセスログの提供・定期的なセキュリティ評価・インシデント発生時の通知義務などを盛り込みます。また、クラウド型電子カルテを利用する場合、サービス提供事業者がISO/IEC 27001(情報セキュリティ管理)やJIS Q 15001(個人情報保護)の認証を取得しているかを確認することが重要です。
5. 物理的セキュリティ対策:端末と施設を守る
デジタルの世界だけでなく、物理的なセキュリティも疎かにできません。電子カルテ端末や情報機器の管理を徹底することが、情報漏えいの防止につながります。
1. 端末管理と不正持ち出し防止
電子カルテ端末(PC・タブレット・スマートデバイス)には、ハードディスクの暗号化・画面ロック・自動ログアウト機能を必ず設定します。USBメモリ等の外部記憶媒体の接続を技術的に禁止または制限し、万一の端末紛失・盗難時にもデータ漏えいを防止します。ノートPCには盗難防止ワイヤーを使用し、病棟・外来のコンピュータ台数と設置場所を台帳で管理することも基本的な実務です。廃棄する機器については、専門業者によるデータ完全消去または物理破壊を徹底してください。
2. サーバー室・機器室の入室管理
電子カルテのサーバーが設置される機器室は、ICカードや暗証番号による入退室管理を実施し、担当者以外は立ち入れない環境を整備します。入退室記録を6ヵ月以上保存し、不審な立ち入りを検知できる体制を整えます。また、サーバー室の温湿度管理・非常用電源(UPS)・防火設備も医療情報システムの継続的な稼働を支える重要な物理的要素です。
6. クラウド型電子カルテにおける追加的セキュリティ考慮事項
近年は、オンプレミス型に代わってクラウド型(SaaS型)電子カルテの導入が増加しています。厚生労働省は2023年、クラウド型の電子カルテも一定条件のもとで認める「クラウドサービスの利用に関する医療情報システムの安全管理」指針を示しました。クラウド型を採用する場合、以下の5点を確認・対応することが求められます。
1. データ保存場所の確認
データの保存場所が国内のサーバーであることを確認します。海外保存の場合は、法的・契約的に十分な保護措置が講じられているかどうかを精査することが必要です。
2. 認証取得状況の確認
事業者のISO/IEC 27001取得状況、および医療情報分野専用の認証(医療情報安全管理ガイドライン準拠)の有無を確認します。
3. データポータビリティの確保
サービス停止や事業者倒産時に備え、データの移行・返却(データポータビリティ)が契約上保証されているかを確認します。
4. 論理的分離の確認
マルチテナント環境における他の顧客データとの論理的分離が適切に実施されているかを確認します。
5. インシデント通知義務の契約明記
セキュリティインシデント発生時に事業者から迅速な情報提供が受けられるよう、通知義務を契約書に明記することが必要です。
クラウドを利用する場合も「クラウドに任せれば安心」という考えは禁物です。「責任共有モデル」の考え方に基づき、クラウド事業者とユーザー(医療機関)それぞれが担う責任範囲を明確化した上で対策を講じることが必要です。
7. 法令・ガイドラインの遵守と定期監査
電子カルテのセキュリティ管理は、複数の法令・ガイドラインで規律されています。主要なものとして、個人情報保護法(2022年改正版では不正アクセスによる漏えい等の報告義務を強化)、医師法・医療法における診療記録の適切な管理義務、そして厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」が挙げられます。ガイドライン第6.0版では「経営管理層のセキュリティへの責務」を明示し、トップダウンの取り組みを求めています。
セキュリティ対策は一度実施すれば完了するものではありません。少なくとも年1回の内部監査に加え、数年に一度は外部の専門機関によるペネトレーションテスト(侵入テスト)や脆弱性診断を実施し、対策の実効性を客観的に検証することが重要です。監査結果に基づき、PDCAサイクルを回しながら継続的に改善していく「セキュリティガバナンス」の仕組みを院内に定着させましょう。
まとめ:三層構造のセキュリティ対策で医療情報を守る
電子カルテのセキュリティ対策は、「技術的対策」「組織的対策」「物理的対策」の三層が相互に補完し合うことで、初めて効果を発揮します。技術だけでも、ルールだけでも、物理的な管理だけでも不十分であり、三者を統合的に運用することが求められます。
医療情報は患者との信頼関係の根幹をなすものであり、その保護は単なる法令遵守を超えた医療倫理の問題でもあります。本記事で紹介した実務ノウハウを参考に、まずは「技術・組織・物理」の三軸で自院の現状を棚卸しし、最も脆弱な層への対策から着手することが、限られたリソースを最大限に活かす現実的なアプローチです。患者から預かった大切な情報を守り抜くことが、医療機関としての信頼の証となります。
サイバー攻撃の手口は日々進化していますが、基本的な対策を積み重ねることが、最も確実な防御の第一歩です。ぜひ本記事を出発点として、院内のセキュリティ体制を今一度見直してみてください。
参考文献・資料
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月)
- 厚生労働省「医療施設調査(令和5年)電子カルテシステム等の普及状況の推移」(2024年公表)
- 独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2025」
- NIST Special Publication 800-63B「Digital Identity Guidelines」
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」(2022年改正対応版)
- 徳島県つるぎ町立半田病院「コンピュータウイルス感染事案 有識者会議 調査報告書」(2022年)
- 大阪急性期・総合医療センター「サイバー攻撃に係る事案の経緯及び原因等の調査報告書」(2023年)
