検索
特集

半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」Digital Leaders Summit イベントレポート(1/2 ページ)

2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。

Share
Tweet
LINE
Hatena

 アイティメディアは2024年6月10日〜6月13日、主催セミナー「Digital Leaders Summit」を開催した。同セミナーの基調講演では、徳島県つるぎ町立半田病院(以下、半田病院)の須藤泰史氏(つるぎ町病院事業管理者)が登壇し、「『ランサムウェア被害で病院機能が停止!』〜徳島県・半田病院でおきたこと、得た教訓〜」と題して、半田病院が実際に遭ったランサムウェアインシデントの生々しい実態を語った。

本稿は「Digital Leaders Summit」に登壇した須藤泰史氏の講演を基に編集部が再構成した。

「全てのプリンタが犯行声明を印刷」 ランサムウェア事件の生々しい実態

 半田病院は2021年10月31日、ランサムウェアに感染して病院機能が停止したことで大きな話題を集めた。復旧には約2カ月かかったが、この対応に当たったのが泌尿器科の医師であり、2013年から半田病院の病院長、2020年からつるぎ町病院事業管理者を務めてきた須藤氏だ。


つるぎ町立半田病院の須藤泰史氏(つるぎ町病院事業管理者)

 須藤氏は「サイバー攻撃は平時の需要(患者に対して診療を提供すること)と供給(医療従事者や診断材料、電子カルテ、医療機器)のバランスが崩れる大きな災害です」と強調する。実際、サイバー攻撃への対応では、それまで災害対策用だった事業継続計画(BCP)を応用して対処した。また、2022年1月4日に通常診療を再開してからも、BCPにサイバー攻撃対策とパンデミック対策を追記して、日々の訓練や新たなガイドラインなどにより随時改定する体制を整えてきた。

 半田病院の対応の全容は、2022年6月7日に公開された「コンピュータウイルス感染事案有識者会議調査報告書」などに詳しく記載されている。須藤氏はその中から、「半田病院を襲ったサイバー攻撃の概略」「サイバーセキュリティを高める取り組み」「サイバー攻撃を想定した訓練とBCP作成」「もしサイバー攻撃にあったら」というテーマで、同病院がどのようにサイバーセキュリティを含めた災害対策に取り組んでいるのかを紹介した。

 半田病院は、住民の少子高齢化や開業医の高齢化、跡継ぎ・看護師不足などが進む徳島県西部Ⅰ医療圏における唯一の公立病院だ。県西部医療圏唯一の分娩施設(年間300年弱の分娩件数)を持ち、県西部小児医療の要として機能している。また、新型コロナウイルスについても、3病棟あるうちの1病棟を新型コロナ対応として、これまで感染患者約400人を受け入れてきた。そんな中、突然ランサムウェア攻撃を受けた。

 「2021年10月31日午前0時30分頃、英文の犯行声明が全てのプリンタから用紙がなくなるまで印刷されました。看護師が当直の医師に電子カルテの不具合を報告し、システム担当者が午前3時頃に駆け付けて対応を開始しましたが、調査を始めてからすぐランサムウェアによって全システムが使えなくなっていることが判明しました」(須藤氏)

紙ベースの診療は苦難の連続 半田病院はどう業務を継続したか

 侵害のタイムラインは以下の通りだ。午前8時過ぎに病院上層部に連絡、県警のサイバー犯罪対策室への報告と院内各部署からの被害状況調査の結果を受けて午前10時に災害対策本部が立ち上がり、午後4時には県内の報道機関向けの記者会見が開かれた。調査の結果、端末200台のうち40台がランサムウェアに感染していることが判明し、専門業者の指導の下、ウイルス対策ソフトで駆除したという。

 電子カルテシステムは画像や医事会計、検査、処方、透析、リハビリなどあらゆるものとつながっている。システムがストップしたことで紙ベースでの診療に切り替えざるを得なかった他、診療報酬請求ができず、2021年12月までは診療費の請求もできない状態だった。診察については再来・予約患者に絞り、救急・新規の対応を見送ることになった。

 紙カルテベースの診療は、南海トラフ地震への対策として運用予定だったものだったが、履歴が分からないため「いつから診療していたか、手術したのはいつ頃か、アレルギーはないか」などを患者に直接聞く必要があるなど多くの不自由に直面した。


インシデントからの復旧では多くの不自由に直面した。特に紙カルテでの診療には複数のハードルがあった(出典:須藤氏の講演資料)

 「薬局から過去の処方箋の資料をもらったり、紹介病院から診療情報をFAXしてもらうなど、患者情報をかき集めて対応しました。多くの患者が病院が大変な状況にあることを理解し、検査結果のコピーを持参するなど積極的に行動してくれました」(須藤氏)

 復旧における当初の基本方針は、「1.今いる入院患者を守る」「2.外来患者は基本的に予約再診のみ」「3.電子カルテ復旧に務める」「4.皆で助けあって乗り切ろう」とした。そして事件から約1カ月後の2021年11月27日からは「1.随時通常診療に戻していく」「2.電子カルテ稼働1月4日を目指す」「3.皆で助け合って乗り切ろう」を方針として掲げた。

 半田病院は上記の基本方針に沿って対策を進めた。院内でのコミュニケーション強化に向けて本部ミーティングを毎日実施し、部門ごとの復旧の進捗(しんちょく)状況や紙カルテでの診療の問題点、改善点を報告した。この他、マスコミ対応については事務長に一本化し、個別の取材には応じない方針を取ったという。

 須藤氏は「復旧対応時には、今あるPCが使えないので、大量の文具やPC、コピー機能付きプリンタを新たに用意する必要があるという学びを得ました。当院は、外部などから提供してもらった古いPCを持ち出してプリンタと接続してワープロとして使うなど工夫を凝らしました」と話す。

 なお、最初の犯行声明以降、犯人側からの具体的な要求の連絡はなく、サイバー攻撃を受けたルートに関しては現在も判明していないという。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る