カルテ人質に、狙われた病院　大阪でもサイバー攻撃

病院を狙ったサイバー攻撃が頻発している。目立つのは「ランサムウエア」とよばれる身代金要求型ウイルスによる被害。電子カルテなどのデータを暗号化して使用できなくし、復元と引き換えに金銭を要求する手口だ。医療業務の電子化とともにセキュリティーの重要度が増すなか、対策に必要な予算や現場の人員は十分とはいえない。被害防止にはシステム企業などを含めた外部との連携が不可欠となる。

「全てのファイルは暗号化された。復元のためにはビットコインで支払え。金額はどれだけ早く我々にメールを送るかによって変わる」

10月31日午前、「大阪急性期・総合医療センター」（大阪市住吉区）で電子カルテなどのシステムを管理するサーバーの画面上に「身代金」を要求するメッセージが浮かび上がった。返信用のメールアドレスも示されていた。

ランサムウエアの攻撃とみられ、同センターはカルテの使用や診療報酬の計算ができなくなった。緊急性が高い手術以外を延期したうえ、救急患者の受け入れなどを停止。31日は約600～1000人の外来患者や入院患者に、診察が受けられないなどの影響が出た。11月1日夜の時点でも通常業務の再開見通しは立っていない。システムが復旧するまで救急や災害対応については近隣の病院に依頼するという。

同センターは大阪府内で唯一の基幹災害医療センターに指定され、災害時の対応に24時間備えている。大阪市南部の中核的医療機関として、新型コロナウイルスの患者も受け入れる。10月31日夜に記者会見した嶋津岳士総長は「ご心配、ご迷惑をおかけし、誠に申し訳ない」と謝罪した。サイバー攻撃によるウイルスの感染経路などは不明で、今後解明を進める。

病院を含む医療機関で同様の被害は近年、各地で相次いでいる。病院のサイバー対策に詳しい医療関係者によると、今回の事例の他にも、2016年以降で少なくとも19件の被害を確認。16～20年までは計6件。21年は町立半田病院（徳島県つるぎ町）など計5件に増え、22年は計8件で過去最悪のペースとみられる。

厚生労働省も対応に乗り出している。3月には医療機関の情報セキュリティーに関する指針を改定し、ランサムウエアを想定した具体策を示した。一定規模以上の病院や地域で重要な機能を果たす医療機関に対し、電子カルテなどのバックアップ用データを病院のネットワークから切り離して保管することなどを求めている。

被害が頻発する背景には近年、電子カルテなど医療現場のデジタル化が急速に進む一方で、予算不足が原因で管理体制の構築が追いついていないことがある。

医療分野のサイバー対策に取り組む一般社団法人「医療ISAC（アイザック）」が22年3月に公表した調査(1144病院が回答）では、51%の病院でサイバー対策の年間予算額が500万円未満で、45%が「十分でない」と回答。院内のシステム担当者は、ほぼ常勤で平均3人弱だった。同法人は「セキュリティー企業などからの人材派遣がほぼなく、外部の専門家の目が行き届きにくい環境になっている」と指摘する。

病院を標的にしたランサムウエアによる攻撃は海外でも起きている。厚労省によると、オーストラリアの病院では21年3月、システムを一時全停止する事態が発生し、緊急度が低い手術を延期。米国でも同年5月に感染し、14万人超の患者らの個人情報が漏洩した可能性が浮上した。

脅威が高まるなか、海外では業界が協力して組織を立ち上げ、情報共有を進めている。米国では病院や医療機器メーカーなどでつくる「H-ISAC」が最新の手口に加え、会員病院が被害を受けた場合にシステム会社と連携し、原因分析をしている。

日本でも米国にならった情報共有組織の立ち上げ準備が進む。厚労省が主導して22年度内に検討チームを設置する方針だ。

神戸大学大学院の森井昌克教授（情報通信工学）は「サイバー攻撃はシステムの脆弱性を無差別に突く。救急対応を担う医療機関は対策を急ぐ必要がある」と指摘。「システム会社やセキュリティー企業から防御策の知見を得るなど、外部専門家の力を積極的に使ってほしい」と呼びかけている。

（蓑輪星使、村越康二）