コラム・インタビュー

医療機関を狙ったサイバー攻撃が年々増加傾向にあり、その標的はクリニックも決して例外ではありません。診療データの漏えいやシステムの停止は、患者様の健康とクリニックの運営に重大な影響を及ぼします。医療機関が備えるべき「サイバー保険」の重要性について、その背景や加入のメリットも含めてお伝えします。

この急増の背景には、医療機関が持つ膨大な個人情報や診療データがサイバー犯罪者にとって価値の高いターゲットとなっていることが挙げられます。

実際に起こったサイバー攻撃の事例を見てみましょう。

日本歯科大学附属病院（2022年1月中旬）
病院内のコンピューターがウイルスに感染し、新患の受け入れや診療の一部が4日間にわたって停止する事態となりました。電子カルテと会計システムのサーバーに不具合が生じたため、患者情報が閲覧できず、診療や会計業務に大きな支障が出ました。

医療法人陽和会春日井リハビリテーション病院・付属クリニック（2022年1月19日）
院内のコンピューターに外部からの不正アクセスがあり、電子カルテと医事会計システムのプログラムに不具合が生じました。すべてのサーバーを一時停止しなければならず、病院の業務に影響をもたらしました。

名古屋大学医学部附属病院（2022年2月24日）
教職員のメールアカウントが不正ログインを受け、個人情報を伴うコンテンツが狙われました。添付ファイルに含まれた患者情報をはじめ、医学部生、共同研究者、職員ら数多くの個人情報が閲覧された可能性を公表しました。

医療機関がサイバー攻撃の標的となる理由はいくつか考えられます。

まず、医療データはハッカー集団にとって非常に価値が高く、個人情報が詰まった電子カルテや診療履歴は高額で取引されます。

また、医療機関のセキュリティ対策が他業種に比べて遅れていることも一因です。多くの病院やクリニックでは、IT予算が限られているため、最新のセキュリティ技術を導入することが難しい現状があります。

さらに、医療機関は24時間365日稼働しており、一度システムが停止すると患者様の命にかかわるなど、その影響は甚大です。

ランサムウェアを仕掛けるハッカー集団は、その影響の大きさと引き換えに身代金を要求しやすくするため、医療機関を優先的に狙うことが多いのです。

前述の攻撃事例は、いずれも一定規模以上の医療機関ですが、地域のクリニックや診療所がサイバー攻撃の標的にならないとは限りません。

むしろ、セキュリティ対策が脆弱と見なされやすい小規模の医療施設が、今後狙われる可能性は低くないのです。

2021年10月から本格的に運用が始まった「マイナ保険証」は、マイナンバーカードと健康保険証を一体化したものです。

この新しいシステムは、患者様の診療情報や処方情報などを分散管理し、利便性と医療サービスの向上を目指しています。

しかし、現場ではシステムの導入に伴う混乱も起きています。

たとえば、患者情報の誤登録やデータの紛失といった問題が発生しており、その都度対応に追われているのが実情です。

デジタル庁は「マイナンバーカードのICチップには、税や年金、医療などの大事な個人情報は入っていません」としています。

その一方で、マイナ保険証として利用する際には、診療・薬剤情報、処方情報、調剤情報、健診等の情報が、患者様の同意を得た上で医療関係者に提供されることも可能です。

情報提供は患者様がよりよい医療を受けるための仕組みですが、同時に、これらの情報が漏えいするリスクも抱えています。

セキュリティ対策をとっていない医療機関がサイバー攻撃を受けた場合、患者情報の保護は非常に困難です。ランサムウェアやフィッシング攻撃を通じて、マルウェアがシステムに侵入すると、患者情報が抜き取られる可能性があります。

これらのリスクを考えると、医療機関はセキュリティ対策だけでなく「サイバー保険」への加入を検討しておくべきでしょう。

マイナ保険証の導入に伴い、患者情報保護の重要性はますます高まっています。

医療機関は日常的に多くの患者情報を取り扱っており、その保護が疎かになると重大なリスクにつながります。

サイバー保険は、これらのリスクに対する重要な対策の一つです。特に中小規模のクリニックでは、セキュリティ対策に十分なリソースを割くことが難しいため、サイバー保険を活用してリスクを軽減することが推奨されます。

サイバー攻撃による損害は、初動対応から再発防止策まで多岐にわたります。

負担コストとしては、インシデント発生時の調査費用、システムの復旧費用、再発防止のためのセキュリティ強化費用などが含まれます。

たとえば、PCやサーバーの調査費用だけでも300〜400万円が必要とされ、マルウェア感染が広範囲に及ぶ場合は数千万円に達することもあります。

情報漏えいが発生した場合、問い合わせに対応するためのコールセンターを設置する費用も考慮しなければなりません。

コールセンターの設置には初期費用と運用費がかかり、オペレーターの数によりますが、月に120〜200万円ほどが必要です。

情報漏えいによって、第三者に損害を与えた場合の損害賠償や、訴訟費用、弁護士費用なども考えられます。

サイバー攻撃によってシステムが停止すると、患者様の診療が滞ることになります。その間の逸失利益は、開業医の生活費やクリニックの運営費に大きな影響を及ぼします。被害の状況によっては、長期的な経済的損失を招く可能性もあるのです。

2021年10月に自治体病院がランサムウェア攻撃を受けて以来、国と厚生労働省は医療機関に対策を求め、制度やガイドラインの改定を行ってきました。

この動きからもわかるように、サイバー攻撃の脅威は現実のものとなっており、いかに万全のサイバーセキュリティ対策を施していても、すべての攻撃を防ぐことは難しいのが現状です。

サイバー攻撃が発生した際の被害は甚大です。患者様の個人情報が漏えいすると、プライバシーが侵害されるリスクが広がり、患者様は精神的なダメージを受けます。

クリニック側も被害の対応に多くの時間と労力を費やさなければならず、再発防止策の導入や事故収束のための対策が求められます。

このような背景から、サイバー保険の必要性が浮き彫りになります。

サイバー保険は、インシデント対策を迅速に行うための費用やリソースを確保し、被害を最小限に抑えるための手段として有用です。

以下に、サイバー保険に加入することで得られるメリットを整理してみましょう。

迅速なインシデント対応
サイバー攻撃を受けた際に迅速な対応が可能です。専門の対応チームが速やかに駆けつけ、システムの復旧や被害の拡大防止をサポートします。

費用負担の軽減
サイバー攻撃による被害対応には、多額の費用がかかります。サイバー保険はこれらの費用を補償し、クリニックの経済的負担を軽減します。

信頼性の維持
サイバー攻撃による情報漏えいは、患者様や地域社会との信頼関係に大きな影響を及ぼします。クリニックが事前に適切な対策をとっていることで、医療施設としての信頼維持と患者様の安心感につながります。

法的リスクの軽減
サイバー攻撃に伴う法的リスクも無視できません。サイバー保険は、訴訟等の問題が発生した場合の費用もカバーし、開業医を法的トラブルから守ります。

リスク管理の強化
保険会社によっては、サイバーセキュリティに関するコンサルティングや対策指導を提供しているところもあります。これを活用することで、事前のリスク管理が強化されるとともに、万が一の際の対応力も向上します。

病院に対するサイバー攻撃は、同じ医療機関であるクリニックにとっても重大な脅威です。 マイナ保険証の導入に伴い、個人情報保護の重要性が一層強調される中で、サイバー攻撃への備えは必要不可欠な状況にあります。

不意のインシデントに迅速に対応し、経済的な損失を抑え、リスク管理の強化に期待できる「サイバー保険」は、備えるべき有力な選択肢です。

自院の安全と患者様の個人情報を守るためにも、今こそ「サイバー保険」の加入を検討しましょう。