EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
閉域網だから安全という認識は、もはや通用しません。電子カルテ停止が診療と経営に与える深刻な影響を整理し、法改正を踏まえて経営層が今取るべき備えを解説します。
要点
- 閉域網やベンダー任せでは防げないサイバー攻撃が電子カルテ停止を引き起こし診療と経営を直撃する。
- 電子カルテ停止は診療機能のまひだけでなく収益減少や法的責任など病院経営に深刻な影響を及ぼす。
- 法改正によりサイバーセキュリティは経営責任となり経営層主導での体制整備と備えが不可欠である。
Ⅰ. はじめに
「うちは閉域網だから安全」や「システム会社に任せているから大丈夫」という声を、多くの医療機関で耳にします。しかし、徳島県つるぎ町立半田病院や大阪急性期・総合医療センターでのサイバー攻撃事例は、この「安全神話」が既に崩壊していることを示しています。2023年4月の医療法施行規則改正により、医療機関の管理者にはサイバーセキュリティ確保が法的義務として課されました。もはや「知らなかった」「業者に任せていた」では済まされない時代です。このコラムでは、電子カルテ停止が招く診療継続と経営存続の危機を回避するために、経営層が今すぐ主導すべきポイントをお伝えいたします。
Ⅱ. 電子カルテの停止は診療機能の完全まひ
医療機関にとって、医療情報システムは単なる事務効率化ツールではありません。患者の生命を守る医療インフラそのものです。もし明日、ランサムウエアによって電子カルテシステムが暗号化されたら、現場では何が起きるでしょうか。
Ⅲ. 診療現場で発生する深刻な事態
救急医療の機能停止: 過去の診療履歴、アレルギー情報、処方歴が参照できず、救急車の受け入れを制限せざるを得ない
外来・手術の大幅制限: 予約システムが機能せず、検査結果確認ができないため、診断・治療方針の決定が大幅に遅延する
薬剤安全管理の破綻: 電子処方箋が発行できず、薬歴確認や相互作用チェックが困難になり、投薬ミスのリスクが急増する
画像診断業務の停止: CT、MRIと電子カルテの連携が途絶え、画像診断そのものが不可能になる
Ⅳ. 経営への壊滅的影響
実際の被害事例では、以下のような深刻な損失が報告されています。
復旧費用: システムの調査・復旧作業で数千万円から億単位の費用が発生する
診療報酬の激減: 新規患者受け入れ停止、予定手術延期により月間収入が50%以上減少する
レセプト請求の遅延: 診療報酬請求ができず、キャッシュフローが深刻化する
法的責任: 適切な診療が提供できなかったことによる損害賠償リスク救急医療の機能停止する
システム復旧まで数ヶ月を要し、減収と復旧費用を合わせて病院年間利益の数倍の損失が発生したケースも報告されています。
Ⅴ. 医療機関を襲う「3つの危険な思い込み」
なぜ、これほどまでに医療機関のサイバー攻撃被害が相次ぐのでしょうか。医療機関特有の構造的な脆弱性があると考えられます。
1. 「閉域網だから安全」という思い込み
「インターネットにつながっていない閉域網だから安全」という認識は時代遅れです。現実には、以下の接続経路が存在します。
- 保守用VPN接続(ベンダーがメンテナンスのために外部から接続)
- 地域医療連携ネットワーク(他の医療機関との情報共有)
- オンライン資格確認システム(保険証の資格確認でインターネット接続)
- 電子処方箋システム(薬局との情報共有でクラウド接続)
近年の攻撃事例の多くは、保守用VPN装置の脆弱性や管理の甘いID・パスワードを突いて侵入しています。
2. 「ベンダー丸投げ」による責任の空白
電子カルテ、医事会計システム、PACS、検査システムなど医療情報システムは多岐に亘りますが、多くの場合、それぞれ異なるベンダーがそれぞれのシステムを管理します。ここで生まれるのが「責任の空白地帯」です。
- 電子カルテベンダー:「ネットワークは当社の責任範囲外」
- ネットワーク業者:「アプリケーションの問題は関与しない」
- 医療機器メーカー:「システム連携の部分は他社の責任」
この責任の押し付け合いにより、責任の空白が生まれ放置され、攻撃者の侵入を許してしまいます。
3.「保守契約=セキュリティ対応」の誤解
多くの医療機関が結んでいる「保守契約」は、システムの自然故障への対応に限られています。サイバー攻撃によるインシデント対応は基本的に契約範囲外であることが多く、対応するためにはベンダーとの調整や別料金での追加契約が必要になります。
Ⅵ. 経営層が今すぐ確認すべき4つの重要な質問
医療情報システム全般における技術の詳細をすべて理解する必要はありませんが、診療継続と患者安全に影響するリスクの存在は必ず把握しておく必要があると考えます。経営層の皆さまは以下の項目について関係部署と会話してみてください。
【確認事項1:診療継続計画の具体性】
「電子カルテが2週間停止した場合、どの診療機能をどの程度継続できるか。患者への説明はどうするか。」
確認すべきポイント
- 救急対応、外来診療、入院管理、手術、透析などの継続可能性
- 紙カルテでの診療フローの準備状況
- 近隣医療機関との患者受け入れ協力体制
- 患者・家族への説明方針と広報対応
【確認事項2:ベンダーとの責任分界点】
「保守契約にサイバー攻撃対応は含まれているか。VPN機器は誰の責任で管理されているか。緊急時の連絡体制は24時間対応可能か。」
確認すべきポイント
- セキュリティインシデント発生時の初動対応責任者
- システム復旧作業の費用負担
- 夜間・休日を含む緊急連絡体制
- データ復旧が不可能な場合の責任範囲
【確認事項3:医療機器のセキュリティ状況】
「ネットワークに接続されている医療機器のセキュリティ対策状況はどうなっているか。サポート終了したOSを使用している機器はないか。」
確認すべきポイント
- ネットワーク接続されている全医療機器のリスト
- 各機器のOSバージョンとセキュリティパッチ適用状況
- Windows 10など、サポート終了OSを使用している機器の把握
- 医療機器ネットワークと事務系ネットワークの分離状況
【確認事項4:インシデント対応の準備状況】
「ランサムウエア感染を発見した場合、最初の1時間で誰が何をするか決まっているか。」
確認すべきポイント
- 異常発見時の報告ルート(発見者→システム担当→経営層)
- ネットワーク遮断の判断権者と実行手順
- ベンダーへの緊急連絡と対応要請の流れ
- 患者・職員への緊急告知方法
Ⅶ. 患者さまの命を守るためにシステムセキュリティを確保
2023年4月の医療法施行規則改正により、医療機関の管理者にはサイバーセキュリティ確保が法的義務として課されました。経営層の責任としては、①医療情報システムの安全管理は経営責任であることの明確化、②適切な予算配分と人員配置の実施、③組織全体のセキュリティ文化醸成への取り組みが挙げられます。万が一の際、「知らなかった。システム全般は業者に任せていた」では責任を免れることはできません。
医療DXの推進により、診療の質と効率は大幅に向上しました。しかし同時に、デジタル化に伴うリスクから医療機関を守ることも、経営者の重要な責務となっています。「何かが起きてから対処する」のではなく、「起きる前に備える」ことが必要不可欠です。そして、完璧を目指すのではなく、「限られたリソースの中で、優先度の高いリスクから順次対応する」ことが、持続可能な医療機関経営につながります。サイバーリスクへの対応は、患者さまの命を守る医療行為の一部です。現在のリスク管理体制について、一度客観的に見直してみることをお勧めいたします。もし明日、電子カルテが停止したら診療はどうなるでしょうか。この質問に明確に答えられる状態を作ることが、リスク管理の第一歩であり、地域医療を守ることにつながります。
【共同執筆者】
嶋本佳祐
EY新日本有限責任監査法人FAAS事業部 シニア
独立行政法人系医療グループの600床規模の病院に従事。
医療情報システムの更新に係るアドバイザリー業務および厚生労働省を中心とした省庁関連業務にも従事。
サマリー
電子カルテ停止が診療継続や病院経営に与える影響を整理し、法改正を背景に経営層が果たすべきサイバーセキュリティ責任を解説します。