医療機関向けのサイバーセキュリティ対策チェックリストマニュアルを厚生労働省が公表
(2025年6月)
ネット証券の証券口座が乗っ取られ、勝手に株取引をされる被害が多発しています。その背景には、売り買いをスムーズにするためにあえて2段階認証を設けていなかったことがあるようです。
ネット証券各社は、2段階認証やデバイス認証の設定などを早急に進めているようですが、それを逆手にとって、「デバイス認証未設定による補償対象外のご案内」といった偽メールが送られてきたり、偽サイトで2段階認証を突破する口座乗っ取りまで起こったりしています。*1
これまでも企業や官公庁、大学、医療機関などがランサムウェアの攻撃に遭い、顧客情報や機密情報などの重要データが根こそぎ抜き取られて、闇サイトに流出するという事件がたびたび起こっていました。
こちらのニュース(Vol.46)でも、2021年に攻撃に遭った徳島の町立半田病院の例を紹介したように、医療機関がランサムウェアの被害に遭うと、電子カルテなどの医療データがすべて利用できなくなって、業務に大変な支障をきたしてしまいます。
マイナ保険証の導入に伴い、診療所レベルでも電子カルテの導入が進んでいる現在では、いつ診療所の医療データがランサムウェアの攻撃に遭うかわかりません。
最近は以前のような「ばらまき型ランサムウェア」から、ねらいを定めた企業などのVPN機器の脆弱性などセキュリティ上の欠陥をついてネットワークへ侵入し、感染を広げる「標的型ランサムウェア」が主流になっているとはいえ、生成AIを使ってランサムウェアを作成した男が逮捕されたという報道*2 までありました。
つまり、だれでもサイバー攻撃の被害に遭う時代になっているのです。
こうした状況を受け、厚生労働省は2025年度版の「医療機関におけるサイバーセキュリティ対策チェックリスト」*3 と「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル(医療機関・事業者向け)」*4 を公表しました。
これまでにも、厚生労働省は「医療情報システムの安全管理に関するガイドライン」*5 を公表していますが、今回はこれに加えて、「パスワードの適切な管理・設定」「USBなどの外部接続機器に対しての接続制限の有無」「2要素認証の導入」などを求めています。
これらのサイバー攻撃対策がきちんとなされているかどうかについては、都道府県による立ち入り検査(医療法第25条第1項の規定に基づく立ち入り検査の実施について*6 )によりチェックが行われます。
こうした取り組みに対するコストについては、2024年度の診療報酬改定で「医療DXの推進に向けた加算」も手当されていますので、上記のチェックリストをもとに、診療所のサイバーセキュリティ対策を進めることは喫緊の課題でしょう。
今年の4月4日には、内閣官房内閣サイバーセキュリティセンターから、全国自治体病院協議会に向け、「Ivanti社のソフトウェアに深刻な脆弱性が発見された」という注意喚起も行われています。*7(資料ダウンロード)
医療DXの専門家でない院長やスタッフがこうした情報にアクセスしたり、アップデートしたりするのは大変です。それなら、費用は掛かっても、診療所のHPを管理してもらっている会社や電子カルテの業者にサイバー対策もお願いすることを考えるときにきているのではないでしょうか。
※WEB情報の最終閲覧日は2025年5月18日です。
(文責:ブランディング・エディター 内田朋恵)
*1「偽サイトで2段階認証も突破する「証券口座乗っ取り」横行」金融お役立ちかわら版 日本経済新聞 2025年5月14日
*2「生成AI悪用しウイルス作成、警視庁が25歳の男を容疑で逮捕…設計情報を回答させたか」2024/05/28 讀賣新聞オンライン
*3「平成7年度版医療機関におけるサイバーセキュリティ対策チェックリスト」
*4「平成7年度版医療機関におけるサイバーセキュリティ対策チェックリストマニュアル(医療機関・事業者向け)」
*5「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」
*6「令和6年度の医療法第 25 条第 1項の規定に基づく立入検査の実施について」
*7「Ivanti 製品の深刻な脆弱性(CVE-2025-22457)について(注意喚起)」内閣官房 内閣サイバーセキュリティセンター対処・外部連携ユニット 2025年4月4日(資料ダウンロード)