医療機関が狙われる構造と守るべきゴール
医療機関は高価値な個人情報を保有し、システム停止が診療停止に直結するため「支払われやすい」標的になりやすい。被害の本質は漏えいだけでなく、電子カルテや会計、画像管理の停止による予約崩壊、返金、信用失墜、復旧費用の増大にある。したがって目的は侵入防止に加え、侵入後も止めない・早く戻す設計である。情シスはBCPの一部として、復旧時間と代替手順まで含めた現実解を用意すべきだ。
基本の徹底:資産台帳、最小権限、更新の統一
対策の出発点は資産の見える化である。PC、レセコン、受付端末、Wi-Fi、NAS、ルータ、複合機まで洗い出し、OS・主要ソフトのバージョン、保守期限、外部接続、管理者IDの有無を台帳化する。次に共有IDや弱いパスワードを排し、職種別に権限を分けて不要な管理者権限を外す。退職・異動時の停止手順も定期運用として固定化する。
感染経路の主役はメールとWebであり、個人の注意に依存しない防御が必要だ。OS・ブラウザ・PDF閲覧などの自動更新を有効化し、マルウェア対策(可能ならEDR)を統一運用する。メールは危険な拡張子ブロック、URL検査、なりすまし対策などを段階的に導入し、端末設定と運用ルールで事故率を下げる。
被害を局所化する設計:ネットワーク分離とリモート統制
医療現場では多様な機器が同一ネットワークに混在しやすく、1台の侵害が横展開を招く。診療系(カルテ・レセコン・画像)、事務系、来院者Wi-Fiを用途別に分離し、相互通信を最小限に制限することが現実的な抑止策となる。新規機器導入時も「どのセグメントに属し、どこと通信するか」を先に決める運用が有効だ。
ベンダー保守のリモート接続は高リスクである。許可する場合は、接続元・接続時間・作業内容の事前申請、院側監督下での実施、MFA必須、ログ保存、不要時の遮断を基本とする。常時開放のリモートデスクトップや共通IDのVPN運用は避け、責任分界と監査可能性を担保する。
復旧と外部対応の実務:バックアップ、初動、悪徳業者対策
バックアップは「取る」より「戻せる」ことが価値である。複数世代保持で暗号化上書きを防ぎ、オフラインまたは論理隔離で院内感染の影響を低減する。さらに復元テストを行い、どの端末を何時間で復旧できるかを数値で把握する。これにより診療継続計画として機能し、意思決定も速くなる。
インシデント初動は拡大防止・証跡保全・連絡統制が要点だ。異常を検知した端末はネットワークから切り離し、むやみな再起動や初期化は避ける。対外説明は窓口を一本化し、委託先や法務・保険・広報の連絡先は紙でも保管しておく。加えて、不安をあおる悪徳業者には即決せず、提案範囲、運用負荷、ログ保管、責任分界、解約条件、費用内訳を文書で要求し、相見積もりで可視化する。「法令で必須」などの断定は根拠提示を求め、院内ネットワーク接続を伴う無料診断はNDAと作業範囲合意を先に行うべきだ。