2026年2月27日に日本医科大学武蔵小杉病院が公表した第5報では、攻撃を受けたシステムとして患者バイタル監視システム保守用VPN装置が挙げられ、侵入経路は医療機器保守用VPN装置の脆弱性を悪用した不正アクセスと説明されています。再発防止策としては、外部接続の原則「都度接続」化、接続元アドレス制限、院内の水平展開を防ぐ設定などが示されました。少なくともこの公表内容から言えるのは、医療機関のネットワーク設計では「インターネットにつながっているか」だけでなく、保守経路をどう分け、侵入後にどう広がらせないかが重要だということです。

厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」システム運用編も、この考え方と整合しています。同編は、セキュアなネットワークを構築するために、ネットワークの論理的または物理的な構成の分割、接続機器の制御、通信するデータの制御を行う必要があるとしています。また、接続先が限定されている、あるいは経路が管理されているネットワークを**「セキュアなネットワーク」と整理し、医療情報システムでの利用は原則としてセキュアなネットワークを用いる**としています。

つまり、ネットワーク分離の答えは「全部物理的に分ける」でも「FWがあるから一つでよい」でもありません。厚労省資料が示しているのは、どこがオープンで、どこがセキュアで、どの境界で何を制御するかを明確にせよという考え方です。15日目の記事では、この考え方を医療機関の実務に合わせて整理すると、少なくとも次の6点になります。

1. まず「院内LAN」ではなく、役割ごとに分ける

厚労省のBCP手引きは、平時から、HIS系、インターネット系等の院内LANに加え、外部接続点(ファイアウォール、VPN、地域連携、オンライン資格確認等)が判別できるよう、IPアドレスやルーティングが分かる構成図を整備しておくよう求めています。これは、ネットワークを部門別ではなく、役割と外部接続の有無で見るべきだという意味です。したがって実務上は、少なくとも①電子カルテ等のHIS系、②インターネット・メール系、③検査装置・医療機器系、④保守・外部接続系の4領域を意識して分けて考えるのが出発点になります。ここでの4領域という整理自体は本稿の専門家の見解ですが、根拠となる外部接続点の見える化やHIS系・インターネット系の区別は公的資料にあります。

2. 電子カルテ系は「最も重要な情報を置く側」として扱う

システム運用編は、境界防御型思考の説明の中で、オープンではない環境では、医療情報等、特に重要な情報の管理を行うと整理しています。また、医療情報システムで利用するネットワークは、原則としてセキュアなネットワークを用いるとしています。したがって、電子カルテや医事会計などの基幹系は、インターネット閲覧端末や一般事務端末と同一セグメントで漫然と混在させるより、接続先が限定され、経路が管理された側に置くのが公的資料に整合的です。ここで「電子カルテ系を最も厳格に保護すべき中核セグメントと考える」という表現は、厚労省の記載を踏まえた専門家の見解です。

3. 検査装置・医療機器系は、電子カルテ系と別に考える

厚労省のシステム運用編は、脆弱性対策の対象に検査装置等に付属するシステム・機器を含め、対応が難しい場合は事業者と実施可否を確認し、代替策を講じる必要があるとしています。さらにIoT機器については、製造販売業者から提供された情報に基づいてリスク分析し、運用管理規程を定めることを求めています。つまり、検査装置や医療機器系は、一般PCと同じ更新前提で運用しにくいことがあるため、電子カルテ系と同じセグメントに置いて「全部同じ管理」で済ませるより、別のリスク前提で分けるほうが自然です。ここでの「検査装置・医療機器系は別セグメントを基本に考える」という整理は、上記公的資料に基づく専門家の見解です。

4. 保守回線は「便利な入口」ではなく「専用の危険点」として分ける

チェックリストマニュアルは、リモートメンテナンス(保守)を利用している機器の有無を事業者に確認することを求めています。システム運用編では、保守時の安全管理対策として、保守要員の専用アカウント使用、アクセスログ収集、作業計画書との照合、リモートメンテナンス時の対策などを求めています。さらに、武蔵小杉病院の事案では、侵入口が医療機器保守用VPN装置でした。したがって、保守回線は電子カルテ系に直接入る前提ではなく、専用に切り出した保守用経路・保守用セグメントで受け、必要時だけ限定的につなぐという発想が実務的です。この最後の構成案は専門家の見解ですが、保守回線の把握と専用統制の必要性自体は公的資料と公式公表に基づきます。

5. 外部から職員が入る経路も、電子カルテ系へ直結させない

システム運用編は、職員が外部からアクセスする場合について、事前許可、認証・認可、ネットワーク要件、端末要件を求めています。また、外部アクセスでは、VPN技術により安全性を確保したうえで、仮想デスクトップ等を利用する運用の要件を設定すること、または専用端末の貸与が考えられるとしています。したがって、外部職員アクセスを認める場合も、私物端末や一般端末からそのまま電子カルテ系へ入れる設計より、VPN+仮想デスクトップ等で中継し、直接接触面を減らす構成が、公的資料により整合的です。ここで「電子カルテ系へ直結させない」という表現は、資料を運用設計へ落とした専門家の見解です。

6. 分離だけで終わらせず、監視と多層防御を入れる

厚労省は、ネットワークについて境界防御的な対応を原則としつつも、VPN装置の脆弱性を悪用したランサムウェア被害もあるため、境界防御だけでは十分でないとしています。そのうえで、ゼロトラストの考え方や、トラフィック監視、多層防御、IDS/IPSの採用にも触れています。また、通常時・非常時の運用対策として、サイバー攻撃による被害拡大防止の観点から、論理的/物理的に構成分割されたネットワークを整備することを遵守事項に含めています。したがって、ネットワーク分離は重要ですが、分けただけで安全になるわけではなく、監視・検知・遮断まで含めて初めて意味を持つ、というのが公的資料に基づく結論です。

ここまでを踏まえると、「どこまで分けるべきか」への答えは次のように整理できます。
確立された事実として言えるのは、厚労省が、セキュアなネットワークの利用、論理的/物理的分割、外部接続点の見える化、保守経路の把握、VPNや仮想デスクトップ等を用いた外部アクセス統制、非常時の被害拡大防止のための分割ネットワークを求めていることです。

そのうえで、専門家の見解として実務的に言うなら、医療機関では少なくとも基幹系(電子カルテ等)/インターネット系/検査装置・医療機器系/保守・外部接続系を意識して分け、相互通信は必要最小限に絞り、保守回線と外部職員アクセスは基幹系に直接落とさない設計が妥当です。物理分離が必須と一律に断言できる公的根拠までは現時点で確認できませんが、厚労省は論理的または物理的な分割を認めています。したがって、一律の正解はなく、重要度・更新困難性・外部接続の有無・停止時影響を踏まえて分離粒度を決めるのが正確です。