医療法人を狙うネット犯罪～組織としてのサイバーセキュリティへの取り組みの姿勢｜輝く組織

輝く組織 Shining Organization

医療法人を狙うネット犯罪～組織としてのサイバーセキュリティへの取り組みの姿勢

輝く組織

公開日：2025年05月21日 / 更新日：2025年05月08日

※画像はイメージです／PIXTA

前回はサイバー犯罪の動向として個人や中小の組織でも標的になり得ること。また医療機関が狙われる理由、そしてどんな人であっても備わってしまっている「バイアス」によって当然するべきである対策ですら怠りがちであるということを実際の医療機関の事案も挙げてお話ししました。これを踏まえて、今回はサイバー犯罪への対策をするうえで「意識すること」と「考え方」に焦点を当てます。

▶「MedicalLIVES」メルマガ会員登録はこちらから
日々の診療に役立つコラム記事や、新着のクリニック開業物件情報・事業承継情報など、定期配信する医療機関向けメールマガジンです。メルマガ会員登録の特典として、シャープファイナンスのサポート内容を掲載した事例集「MedicalLIVES Support Program」を無料進呈！

サイバーセキュリティに取り組むうえで意識すること

サイバーセキュリティといっても、今以上できることはあるのか？正直なところ予算をかける意味はあるの？と、今まで被害に遭った（という認識）がないと考えてしまうかもしれません。前回挙げた岡山県精神科医療センターでの事案レポートを読んでみても、具体的に打つ手も不安も浮かばないかもしれません。

第一に、バイアスや偏見は医療者の自分にもあり、完全に打ち消すことはできない、ということを認識し受け入れることが大切です。そして判断をするときに
「思い込みで決めつけていないか？」と、自問する癖を一度付けます。

第二に、何事にも完璧はあり得ないという事実をしっかり受け入れることです。頭ではわかっていても、実際に受け入れ行動することはなかなかできません。
例として、あるテクノロジーや新技術の導入を「自分が期待した完璧」ではないと、見送ろうとするとき。その代替案があれば良いのですが、多くの場合は「何もしない」という結果になり、踏み出すべきであった改革や対応への動きをただ止めてしまうことを繰り返してはいませんか？
80点であっても、たとえ65点であっても「するべきの対応の実行」に踏み出すことが大切な場合があり、100点満点を待ち続けるより良いのです。

そして第三に、変化に追従していく心構えを持つことです。セキュリティ体制を定期的に見直すことも大切ですし、事案や事故が見直しのきっかけになることもあります。新しい検査機器を取り入れる等、内部の変化も見直しするのに良い機会と言えます。
しかし、バイアスを打ち消しながら物事を進めるのは、個々の判断に時間がかかりすぎるのも事実です。日々の活動の中で毎回ゼロからセキュリティ対策を考えるのは現実的ではありません。

そこで最重要ポイント。セキュリティ対策を構築、運用するうえで十分に時間をかけ考える手間を許すのを「事前準備」段階に絞りましょう。セキュリティポリシーや手順まで、しっかりとマニュアル化して準備を整えれば、事案や事故が発生しても、個々に手間取ることなく素早く対応できるでしょう。

事前準備の成果物：セキュリティ対策計画

ではその「事前準備」段階です。
「彼を知り己を知れば百戦殆からず」という古代中国のことわざがありますが、サイバー空間では攻撃者のことを深く知ることは非常に難しいです。そこで事前準備としては自らの組織と事業について把握することが肝要です。

・事業内容
・業務形態
・扱っている情報
・活用している機器、設備、インフラ等
・外部委託している業務やサービス
・出入りする従業員、顧客、業者
・他、思いつくもなんでも

次に「守るべきもの」と優先順位を明確にします。現金、個人情報・取引先情報、事業継続性、知的財産など、事業によって様々となりますが、医療機関においてはまず患者の病歴などセンシティブな個人情報が特異的な項目と思われます。そして各項目において、それが侵害された場合の復旧するまでの工数や時間を含めたコストを算出できれば、優先順位をつけるのに役立ちます。

守るべきものがわかったら、それらに対する「脅威」は何でしょう？ここはサイバー攻撃に限定せず、あらゆるリスク要因を上げていきます。フィッシングやランサムウェア攻撃、パソコンの故障、従業員による機密情報の持ち出し・紛失など。ここで「思いつくけど、そんなことはあり得ない」というバイアスで、リスク要因を無いものとせぬように注意が必要です。

リスク要因が判明したら、どのように守りを固めるかが見えてきます。必要とされるテクノロジーや運用上のポリシーが明確になり、製品の選定や導入コストの算出ができるようになります。さらに対策として、できることとできないことの線引きができ、今後の課題をはっきりさせておくこともできます。
さらにわかったことをマニュアル等の文章にしておくことで従業員への説明やセキュリティの運用に活用できます。

このように自組織としっかりと向き合うことで後々の工程で無駄を減らすことにつながります。さらにこの事前準備は、自分で行えば少ない費用で済ませられます。技術的な支援が必要な場合はコンサルタントやシステムベンダーを雇うこともできますが、くれぐれも頼り切りにならないよう注意が必要です。彼らはシステムのプロでも顧客（あなた）の業務や人（スタッフ）、ネットワーク等についてまったく知らないため、様々なことを聞いてきます。ここで面倒くさがって丸投げすると良い結果になりません。

小規模医療機関における保護対象とリスク要因の例

例としてサイバーセキュリティ上の保護対象とリスク要因をいくつか示します。

・カルテ、患者情報
医療履歴を含む個人情報は日々の業務に必要で触れ慣れているものですが、取り扱いには最も気を付けなくてはなりません。漏洩によるリスクもありますし、内部者による悪用も考えられます。
事故が起きた場合に信用を最も揺るがす項目でしょう。

・オンラインバンキング情報
スタッフの給与振り込みや各種支払いを自ら行っている場合、オンラインバンキングを活用するのが一般的です。しかし非常に狙われやすく、犯罪の手法も数多く生み出されており、部外者による盗取の他、内部者による不正やミスもリスクとして考えておく必要があります。

・検査機器など
レントゲンやCTなどの検査機器の多くはコンピューターによって制御されており、ネットワークに繋がっています。制御ソフトがWindows上で動作していることもありますが、これらは機器メーカーの管理下にあり、一般的なパソコンのように扱うことはできません。セキュリティ製品やWindowsの最新修正を任意に入れることができないので、個別に保護施策を検討する必要があります。

EUによる重要分野毎セキュリティ体制成熟度の調査「NIS360 2024」レポート

ヨーロッパ連合（EU）ではサイバーセキュリティ体制の向上を目指す「NIS2指令」が発行されています。

2025年3月公開の重要分野毎にセキュリティ体制の成熟度を調査した「NIS360 2024」レポートによると保健医療分野について「若干の向上が見られたものの、旧システムへの依存や医療機器保護の不足など、多くの課題を抱えている」としています。また組織の規模によってセキュリティ意識のばらつきが大きく、分野全体の底上げが難しいとの報告となっています。
参考URL：
・ENISA NIS360 2024 Report
・NIS2

今回はサイバーセキュリティ対策を考える上での姿勢や、保護対象とリスク要因の例を挙げました。次回はテクノロジーの活用例と注意点について記述します。