医療機関の電子カルテ障害に学ぶ、止められない業務を守るサイバー対策とBCP

医療DXが進むほど「止まった時の影響」が増幅する

医療機関で情報システム障害が起き、診療制限や手書き運用に移行した事例が報じられました。原因はサイバー攻撃の可能性があるとされています。

電子カルテは記録にとどまらず、検査・投薬・会計・病棟運用などと連動します。中枢が止まると医療提供の質と速度が段階的に低下します。

医療は社会インフラであり、復旧の遅れは患者安全や地域連携に波及します。ITの問題ではなく、経営判断として備える視点が重要です。

国内医療機関で起きた「電子カルテ停止」を伴う障害の概要

報道では、電子カルテ等の情報システムに障害が発生し、診療の一部制限と手書き運用が必要になったとされています。サイバー攻撃の関与が疑われています。

医療機関が狙われやすい背景には、診療停止の社会的影響の大きさがあります。加えて、医療機器や専用端末、古いOSが残りやすい構造も要因です。

委託先や関連事業者を含むサプライチェーンが広い点も侵入経路を増やします。現場優先の文化により、運用面の対策が後回しになりやすい面もあります。

初動の切り分け・証拠保全と、実装しやすい再発防止策

攻撃が疑われる局面では、診療継続と被害拡大防止、復旧判断に必要な情報の確保を同時に進める必要があります。安易な再起動や復元は注意が必要です。

まずは影響範囲の切り分け、通信遮断やセグメント隔離、権限の緊急見直しを行います。同時にログ等の証拠保全を進め、原因究明と説明責任に備えます。

再発防止では、ネットワーク分離で横展開（ラテラルムーブメント）を抑える設計が要点です。特権ID管理と多要素認証、隔離されたバックアップと復元訓練も効果的です。

また、手書き運用は最後の手段でも長期代替になりにくい点が現実です。参照専用系など最小限のデジタル機能を維持するBCP設計が医療安全を左右します。

まとめ

ネットワークベンダーとして、PSIではサイバー対策を「侵入前提の多層防御」と「止まっても致命傷にならない設計」の両輪で捉えることを推奨します。

具体的には、重要系のセグメンテーション、ゼロトラストの考え方に基づく最小権限、そして監視と初動対応の整備により、横展開と復旧遅延のリスクを下げます。

さらに、医療BCPは紙運用手順だけでなく、参照系の確保や復旧後の整合性まで含めて平時に訓練することが重要です。経営・医療安全・ITが同じ前提で備える必要があります。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp