半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」：Digital Leaders Summit イベントレポート（2/2 ページ）

2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。

[斎藤公二，ITmedia]

半田病院はどのようにして電子カルテシステムを復旧させたか？

　半田病院は2022年1月4日から通常診療を再開した。システムの復旧プロセスとしては、専門業者に委託していた感染システムの復旧と、電子カルテシステム業者の仮システムの構築、電子カルテから必要に応じて抽出していたデータなどを組み合わせることで実現した。

　須藤氏は「レンタルサーバに、同じベンダーの電子カルテシステムを再構築しました。ベンダーのSEが医師や看護師の名前、ベッドの位置など、病院のさまざまなデータを手入力してくれました。その後、復旧したバックアップサーバに2018年までのフルバックアップのデータがあることが分かりました。また、過去に電子カルテシステムから抽出していた、新型コロナウイルスのワクチン接種のためのかかりつけ患者名簿や院内採用薬剤集、DPCデータなどがあることも判明しました。手入力したデータやバックアップデータ、抽出したデータを組み合わせて、何とか通常診療にこぎつけました」と説明する。

　その後、2018年以降の電子カルテのバックアップデータが復旧できたため、レンタルサーバの電子カルテシステムにバックアップデータをリストアした。さらに、2023年までに、復旧した機器と新たなVPN装置で環境をつくり、レンタルサーバのデータを戻すことで、電子カルテシステムを復旧した。

　「2021年11〜12月は、医事会計システムと連動していない紙カルテでの診療でした。診療報酬明細書は作れず、診療報酬も請求できていませんでした。この間の紙カルテは5000冊に及びます。2022年1月4日の通常診療再開後に早急に手入力し、同年1月10日までにようやく10月分の診療報酬を請求できました。その後、2021年11月分を2022年2月10日に、2021年12月分を2022年3月10日に請求しますが非常に大変な作業でした」（須藤氏）

　復旧後、有識者会議を現地調査を2回含めて計6回実施。2022年5月に最終取りまとめを実施し、同年6月に報告書を公表した。報告書（技術編）や「情報システムにおけるセキュリティ・コントロール・ガイドライン」も併記し、サイバーセキュリティに関して知識が不十分である病院関係者が業者と交渉する際の指標を提示した。

バックアップを確実に実施し、セキュリティ情報の取得に努めることが重要

　この報告書には、電子カルテシステムの問題点なども指摘されている。有識者から教えられたのは「電子カルテは閉域網で使用するものではなく、外とつながって仕様される状況であり、また、外とつながることで最新の状態を保てる。このため、より深くセキュリティに取り組まなければならない」ということだという。

　現在は、厚生労働省のWebサイトで「医療機関向けセキュリティ教育支援ポータルサイト」が公表されている。そのコンテンツ集の中に、半田病院の事例があり、報告書とともに参考にしてほしいと須藤氏は述べる。

　被害総額は、試算ベースで復旧・新システムづくりに2億円超、入院や外来制限による診療報酬の減収が2021年11〜12月の2カ月で数千万円規模となる。

　須藤氏は今回の対応を踏まえ、サイバーセキュリティを高める取り組みとして「バックアップを確実に」「セキュリティ情報の取得」を挙げた。具体的に対策としては、VPN装置をインターネットに直接つなぐのではなく、物理的に遮断してリモート保守など必要なときのみつなぐこと、バックアップサーバもテープ式にして常時接続しない方式にした。ネットワークハブでも登録した機器のみ接続できるようにし、クライアントPCにアンチウイルスソフトの導入を徹底した。

　「実は、こうした対策は厚労省からのサイバーセキュリティ対策として、各都道府県の衛生主管部に注意喚起として受けていたものでした。セキュリティ情報をキャッチしてきちんと取り組んでいればランサムウェア被害を防げた可能性があります」（須藤氏）

　また、前年度から運用している新しいシステムでは、保守回線の一本化、挙動・イベント監視機能の追加、クライアント端末での認証の仕組み、踏み台サーバ・Syslogサーバで認証したものしか入れない仕組みの構築とログの記録など、セキュリティを強化した。

ランサムウェアとの戦いは勝てないし、降りれない

　この他、サイバー攻撃を想定した訓練・BCPの作成も重要だ。

　2024年度の診療報酬改定で「200床以上の病院は「専任の医療情報システム安全管理責任者を設置」することや「医療情報システムの利用が困難な場合の対応についてのBCPを策定し、訓練・演習を実施すること」が示された。

　半田病院では、有識者会議のSoftware ISAC（Information Security and Analysis Center）の監修を受けながら、厚労省のガイドラインを踏まえた院内医療情報セキュリティ規定を作成している。規定には、インシデント発生時の体制や記者会見の想定問答集なども含まれている。

　「簡易バックアップも重要です。サイバー攻撃を受けると、フォレンジック調査や捜査などでシステムが使えません。その間、診療を続けるには何らかの情報が必要です。そうした情報を抽出しCDなどにバックアップしておくことで、いざというときにPC単独で情報を閲覧できます。また紙ベースでの診療を実施する際にPCやプリンタが必要です。自治体に備蓄PCやプリンタの配備することも重要です」（須藤氏）

　サイバー攻撃に遭った場合の対処としては、厚労省の医療機関向けセキュリティ教育支援ポータルサイトで「サイバーセキュリティインシデント発生時初動対応支援」を依頼することをすすめる。サイト上のメニュータブ「インシデントかも？」から依頼が可能だ。また、厚労省医政局特定医薬品開発支援・医療情報担当参事官室への連絡も受け付けている。

　最後に須藤氏は、ランサムウェアに対抗していくポイントを次のようにまとめ、講演を締めくくった。

　「徳島県警サイバー犯罪対策室から教えていただいたのは、システム担当責任者は全てのシステムを把握すること、知らないうちに業者による部門システムの設置はさせず、システム責任者を通して実施するように改善すること、システム構成図やネットワーク構成図、配線図は常に最新にしておくことです。ランサムウェアとの戦いは勝つことはできないが、降りることもできないゲームです。『侵入されることを前提にバックアップデータをいかに守るか』『感染した際に事業継続をいかに実施するか』をあらかじめ決めておくといいでしょう」（須藤氏）