2026年2月、日本医科大学武蔵小杉病院は、同院の医療情報システムの一部がランサムウェア攻撃を受け、患者の個人情報漏えいが発生したと公表しました。第5報では、攻撃を受けたのはナースコールシステムサーバー3台、病棟端末1台、患者バイタル監視システム保守用VPN装置1台で、漏えいした個人情報は約13万人の患者情報と約1,700人の職員・臨床実習医学生情報とされています。一方で、カルテ情報、クレジットカード情報、マイナンバーカード情報の漏えいは、同日時点では確認されていないと説明されています。
この事案で特に重いのは、侵入口が「電子カルテそのもの」ではなく、医療機器保守用VPN装置だった点です。病院の公表では、VPN装置の脆弱性を悪用した不正アクセスが侵入経路で、2026年1月26日に侵入、1月29日にナースコールサーバー内のデータベースが窃取されたとされています。さらに、窃取データは後日リークサイトで公開されたことも確認されたとしています。
これは、その病院だけの特殊事情ではありません。警察庁は、令和6年中のランサムウェア被害の報告件数を222件とし、侵入経路に関するアンケートでは、VPN機器経由が55.0%、リモートデスクトップサービス経由が31.0%だったと公表しています。加えて、対価要求を伴う事案の82.8%でダブルエクストーション(二重恐喝)が確認されたとしています。つまり、外部接続機器と遠隔保守経路の管理不備は、いまのランサムウェア対策で最優先級の論点です。
今回の病院事案から見える1つ目の教訓は、「保守用VPNを資産台帳の外に置かない」ことです。病院側は再発防止策として、VPN装置の脆弱性アップデート情報の入手と早期適用、外部接続の原則「都度接続」への変更、接続元アドレス制限の適用を挙げています。これは、保守回線や医療機器の遠隔接続を“例外運用”として放置しない、という非常に実務的な示唆です。
2つ目の教訓は、「周辺システムでも被害は大きくなる」ということです。病院の説明によれば、ナースコールサーバーの仕様上、入院歴の有無にかかわらず患者基本情報が更新時に自動送信・蓄積される仕組みがあり、それが被害範囲の拡大につながりました。見落とされがちなのは、攻撃者が狙うのは「最も重要なシステム」だけではなく、「侵入しやすく、横展開しやすいシステム」だという点です。システム間連携、保存データの範囲、周辺機器の認証方式まで含めて棚卸ししなければ、被害の全体像はつかめません。
3つ目の教訓は、「復旧は技術だけでは終わらない」ことです。病院は、ネットワーク遮断、所轄行政機関や警察への報告、フォレンジック調査、全職員への初動対応マニュアル配布、基幹システム全般のセキュリティ強化まで段階的に実施しています。IPAも2025年4月、一般企業向けに加えて医療機関向けの「セキュリティインシデント対応机上演習」教材を公開し、ランサムウェア感染シナリオで対応の一連の流れを学べるようにしています。平時に訓練していない組織は、有事に動けません。
こうした状況を踏まえると、1本目の記事で読者に伝えるべき結論は明確です。最初に見直すべきは、外部接続、認証、初動体制の3点です。厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」には、2025年5月版の医療機関向けサイバーセキュリティ対策チェックリストと、サイバー攻撃を想定したBCP策定の確認表等も掲載されています。何から始めるべきか迷う場合は、この公的資料を起点にするのが安全です。
背景認識としても、この優先順位は妥当です。IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位が「ランサム攻撃による被害」で、11年連続の選出でした。ランサムウェアは一過性の流行ではなく、組織運営そのものに影響する継続的リスクとして扱うべき段階に入っています。
医療機関のセキュリティ対策は、もはや情シス部門だけの課題ではありません。保守契約の結び方、ベンダーとの役割分担、障害時の診療継続、患者説明、対外公表まで含めて、経営課題として扱う必要があります。1日目の記事では、その入口として「最近の公表事案から、まず何を見直すべきか」を押さえるのがよいでしょう。
