厚生労働省は、医療機関等がサイバー攻撃を受けた場合だけでなく、その疑いがある場合や、医療情報システムの障害が発生した場合にも、インシデント発生後速やかに厚生労働省へ連絡するよう案内しています。また、同省の「医療情報システムの安全管理に関するガイドライン 第6.0版」ページでは、令和7年5月版のチェックリストマニュアルと、令和6年6月発出のBCP確認表・手引きが公開されています。8日目は、これらの公的資料で明示されている初動対応を整理する回にするのが適切です。
今回のテーマでまず押さえるべきなのは、初動対応の目的は「原因究明」だけではないという点です。厚労省のBCP確認表の手引きは、初動対応を、サイバー攻撃による被害拡大を防止し、診療への影響を最小限にするための段階として整理しています。つまり、初動の本質は、落ち着いて全部を調べることではなく、被害を広げない判断と、後で調べられる状態を残すことにあります。これは手引きの構成から導ける実務上の整理です。
最初に行うべきなのは、原因調査と通信遮断の判断です。BCP確認表の手引きでは、障害の原因として、サイバー攻撃の兆候、メンテナンス上の問題、医療情報システム自体の問題、LAN設備やケーブルの問題、電源系統の問題などを調査するとしています。そのうえで、サイバー攻撃の兆候がある場合は、ネットワークの遮断により通信を遮断し、感染拡大を防止すること、必要に応じてバックドアの無効化、無効にされたセキュリティ機能の復帰、攻撃された脆弱性への対応を行うことが示されています。ここで大事なのは、慌てて復旧に入ることではなく、まず広がらない状態を作ることです。
次に必要なのが、対象システムの使用中止を経営判断で行うことです。厚労省の手引きでは、サイバー攻撃の兆候等がある場合、経営層に報告し、対象となる医療情報システム等の使用中止を指示するとしています。さらに、業務継続の観点から、紙カルテ運用や参照系環境構築などの代替方法もあらかじめ定めておくよう求めています。したがって、初動対応は情シスだけの判断では完結せず、どこまで止めるか、診療をどうつなぐかを経営層まで含めて決める必要があります。
では、止めるだけでよいのかというと、そうではありません。初動対応でもう一つ重要なのが、何を残すかです。厚労省のチェックリストマニュアルでは、医療情報システムが適切に運用されているか確認するため、利用者のアクセスログを記録し、企画管理者等が定期的に確認することを求めています。アクセスログは、少なくともログイン時刻、アクセス時間、操作内容が特定できるように記録する必要があり、さらに不当な削除・改ざん・追加を防ぐ対策も併せて講じるよう示されています。つまり、ログは監査のためだけでなく、不正アクセス発見後の追跡の起点として扱うべきものです。
初動対応における証拠保全は、アクセスログだけでは終わりません。BCP確認表の手引きでは、被害状況等調査(フォレンジック調査+証拠保全)として、アクセスログの分析や、情報の改ざん・暗号化の有無、個人情報漏えいの有無等を調査し、経営層へ報告するとしています。また、自機関で証拠保全が困難な場合は、事業者等へ依頼すること、そして初動対応の流れを事前に事業者等と確認しておくことも求めています。ここでのポイントは、証拠保全を“詳しい人が後でやる作業”と考えないことです。初動の段階で残せなかった痕跡は、後から取り戻せない可能性があります。これは公的資料に基づく実務上の評価です。
特に重要なのは、復旧を急ぎすぎないことです。厚労省の特集「医療機関等におけるサイバーセキュリティ」では、ランサムウェア対応の典型例として、侵入経路に関係する通信ログの保全が完了してから復旧に着手すると説明しています。さらに、バックアップデータには既に不正ソフトウェアが侵入している可能性があるため、検出と適切な対応を行いながら復旧する必要があるとも述べています。したがって、初動対応の現場では、「止める」「残す」「報告する」より先に「戻す」を置かないことが重要です。
外部報告についても、平時から決めておかなければ初動は機能しません。チェックリストマニュアルは、インシデント発生時における組織内と外部関係機関の連絡体制図を整備することを求めており、その連絡先には施設内の関係者に加え、事業者、情報セキュリティ事業者、外部有識者、都道府県警察の担当部署、厚生労働省や所管省庁等が含まれる想定だとしています。このような体制が整備されていることで、速やかな初動対応支援が可能となり、被害拡大の防止につながると明記されています。連絡体制図は電話帳ではなく、初動を動かす図面です。
報告先のうち、まず外せないのが厚生労働省です。厚労省の医療分野サイバーセキュリティ対策ページでは、医療機関等がサイバーインシデントを受けた場合、インシデント発生後速やかに連絡するよう求めています。また、同ページは、サイバー攻撃そのものだけでなく、その疑いや医療情報システム障害も対象に含めています。したがって、報告は「被害が確定してから」ではなく、疑いの段階で遅滞なく相談・連絡する発想が必要です。
もう一つの重要な外部報告先が警察です。厚労省の特集は、典型的なランサムウェア対応として、被害を把握した場合は被害届を警察に提出すると整理しています。加えて、警察では、被害防止対策に必要な情報提供・助言や、被害復旧への貢献が行われると説明しています。医療機関によっては、警察への相談を「公表前の最終段階」と誤解しがちですが、公的資料の整理では、初動の中に警察対応が入っています。
また、初動対応では被害状況に応じた組織方針の確認も必要です。BCP確認表の手引きでは、被害状況や診療継続への影響、個人情報漏えいの有無等に基づき、外部関係機関への報告、法的措置、機密情報漏えい等の対応を確認して報告するとしています。さらに、サイバー攻撃の影響・被害状況・影響範囲等を踏まえ、情報公開の必要性についても検討する流れが示されています。つまり、初動対応は技術部門だけの作業ではなく、法務、広報、経営判断まで含む組織対応です。
このテーマで読者に一番伝えたい結論は、初動対応は「復旧の前工程」ではなく、被害を広げず、後で正しく復旧するための本体工程だということです。今回確認した厚労省資料を実務に落とすと、順番は 原因調査 → 通信遮断 → 使用中止判断 → ログ・証拠保全 → 外部報告 → 代替運用 → 復旧判断 になります。ここを飛ばして復旧だけ急ぐと、証拠を失い、再感染や説明不能のリスクを抱えやすくなります。これは厚労省の手引きと特集を統合した実務上の整理です。
なお、こうした初動対応は、文書化しただけでは機能しません。IPAは2025年4月、一般企業向けと医療機関向けの「セキュリティインシデント対応机上演習」教材を公開し、ランサムウェア感染シナリオに基づいて、対応の一連の流れを学べるようにしました。8日目の記事の締めくくりとしては、初動対応は“知っている”より“演習している”が重要だと結ぶと、シリーズ全体の実務性が高まります。
