バックアップは「保存」より「復旧」が本番　病院が今すぐ見直すべき6項目

厚生労働省の令和7年5月版「医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル」では、医療機関確認用の項目として、「インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している」こと、そしてサイバー攻撃を想定したBCPを策定していることが求められています。つまり、医療機関に求められているのは「バックアップがある」ことではなく、診療継続に使える形でバックアップと復旧手順が整っていることです。

このテーマで最初に押さえるべきは、バックアップの目的は一つではないという点です。厚労省の特集「医療機関等におけるサイバーセキュリティ」は、バックアップの目的を、①最低限の業務継続に必要な情報へ素早くアクセスを復旧させること、②医療情報システムを元の正常な状態に戻して復旧させること、の二つに整理しています。言い換えると、“まず診療を継続するための復旧”と、“その後に通常運用へ戻すための復旧”は別物です。ここを分けて考えないと、バックアップ設計も復旧計画も曖昧になります。

厚労省の公的ガイダンスでは、最低限の業務継続に向けたバックアップについて、毎営業日に実施すべきとし、さらに複数世代のバックアップを用意し、少なくともその一つは追加書き込みを禁止した状態で保持する必要があると説明しています。システム運用編でも、重要なファイルは数世代バックアップを複数方式で確保し、その一部は不正ソフトウェアの影響が波及しない手段で管理し、復元手順を整備することを遵守事項として示しています。したがって、医療機関のバックアップ設計は、「1日1回コピーして終わり」では不十分で、複数世代・複数方式・一部は改変困難な保管まで含めて設計すべきです。

次に重要なのは、バックアップ対象を「患者データだけ」にしないことです。厚労省特集では、システムの復旧にはデータだけでなく、プログラムや設定もバックアップしておく必要があるとし、医療機関がシステム導入時にフルバックアップを仕様に含め、検収時に確認するべきだとしています。さらに、複数の事業者が関与する場合は、バックアップに抜け漏れや隙間があってはならないこと、機器の設定など論理的な設定の記録が復旧時間と作業効率に大きく影響することも示されています。システム運用編でも、サイバー攻撃時の対策例として、追記不能型のデータバックアップ記録媒体や、システム再構築のための情報機器等のインフラバックアップを挙げています。つまり、守るべきものはデータだけではなく、設定、ソフトウェア、構成情報、場合によっては代替機器までです。

復旧手順の設計で見落とされやすいのが、「重要なものから復旧する」だけでは足りないという点です。厚労省のBCP手引きは、復旧処理において、あらかじめ設定した医療情報システムの「復旧優先度」を基に復旧を行うこと、そして復旧優先度は診療継続を意識して定める「重要度」と異なる場合があると明記しています。また、情報システム担当者と事業者の間で、バックアップ復元手順や対応者を平時に定めておくことも例示しています。これは、平時に「どの順番で、誰が、どの手順書で戻すか」を決めておかなければ、有事に迷うという意味です。

さらに、完全復旧まで待たずに診療をどう続けるかを考える必要があります。BCP手引きでは、医療情報システムの異常・障害時に備え、紙カルテ運用や参照系環境構築などの代替運用を定めておくこと、そのために紙伝票の最新化、運用フローの作成・共有、参照系サーバや端末、プリンタや印刷用紙・トナーの準備まで例示しています。加えて、厚労省特集では、一般的な医療機関では非常時に直近1年程度の期間の情報が比較できれば緊急診療としては可能なことが多いとし、1年を少し超える期間をバックアップ対象とすることを推奨しています。さらに、SS-MIX2ビューアやHL7 FHIRクライアントを搭載した非常用ノートPCでの参照も考えられるとしています。これは法的義務というより公的ガイダンス上の実務的な考え方ですが、非常時の参照設計を考える上で有用です。

復旧で最も危険なのは、バックアップがあるからといって、すぐに戻してしまうことです。システム運用編は、サイバー攻撃ではバックアップデータに既に不正ソフトウェアの影響が及んでいる可能性が高く、不用意にバックアップデータから復旧すると被害を繰り返し、場合によっては拡大しかねないと注意喚起しています。特集でも、侵入経路に関係する通信ログの保全が完了してから復旧に着手すること、バックアップデータには既に不正ソフトウェアが侵入している可能性があるため、検出と適切な対応を行いながら復旧することを示しています。厚生労働省は別ページでも、医療機関等がサイバー攻撃やその疑い、医療情報システム障害を受けた場合は、インシデント発生後速やかに連絡するよう求めています。つまり、復旧は「戻す」作業ではなく、証拠保全、原因確認、外部連絡、代替運用、段階的復旧の流れで考える必要があります。

最後に、バックアップ設計は作って終わりではなく、見直しと訓練が必要です。BCP手引きは、確認表と手引きが最低限必要な事項を記したものであり、医療機関の特性に応じて必要事項を整理し、BCPは定期的に見直し、必要な項目を更新するよう求めています。システム運用編でも、非常時に生じる利用手順は通常時から整理し、非常時を想定した措置について通常時に訓練を行うことが挙げられています。加えて、IPAは2025年4月、一般企業向け・医療機関向けの「セキュリティインシデント対応机上演習」教材を公開し、ランサムウェア感染シナリオを用いた一連の対応の流れを学べるようにしています。復旧手順は文書だけでなく、実際に動けるかまで確認して初めて意味があります。

このテーマで読者に一番伝えたい結論は、バックアップは保険ではなく、復旧能力そのものだということです。毎日取っているかどうかより、何をどこまで戻せるのか、誰が戻すのか、診療をどうつなぐのかが重要です。厚労省の資料を読むと、医療機関に必要なのは「保存の有無」ではなく、複数世代化、改変困難化、フルバックアップ、復旧優先度、代替運用、証拠保全を含めた設計だと分かります。7日目の記事では、この全体像を読者に示すのが主題になります。