医療機関を狙うサイバー攻撃の脅威

──医療機関はなぜ、サイバー攻撃の標的にされているのでしょうか。

富士ソフト 降籏：医療機関は患者さんの個人情報や医療情報など、価値の高いデータを保有しています。また、そのデータが使えないと、診療などの医療業務がストップしてしまう。つまり病院にとって情報システムは非常に重要なインフラであるため、身代金を支払うだろうと標的にされやすいのです。さらにセキュリティ対策がまだ十分でないケースが多いのも要因の一つと考えられます。

富士ソフト 伊藤：身代金を要求するランサムウェア攻撃は、その特徴から大規模病院がターゲットとされる傾向がありますが、ビジネスメールを装ったメールでの攻撃は一斉に送られるため、小規模な病院でも被害を受ける可能性があります。

富士ソフト 降籏： 数年前、ある病院が被害を受けたランサムウェア攻撃は給食事業者のVPN機器の脆弱性が侵入の糸口となり、攻撃が広がってしまいました。電子カルテ等の院内システムはクローズドネットワークで運用されていましたが、他のネットワークとのつながりに不適切な箇所がありました。オンプレミスだから安全とは言えないのです。

このインシデントでは診療システム全体の復旧に2ヶ月以上かかったと報告されています。その間の診療制限による逸失利益に加え、膨大な調査・復旧費用が発生しました。その額は約20億円と言われています。損害額に対する解決金の合意がなされたのはインシデントから2年10ヶ月後。その内容は、システム提供事業者など3社で10億円を病院側へ支払うというものでした。医療機関や事業者に対する信頼を損ねるのはもとより、経済的な損失は甚大です。

サイバー攻撃のリスクに対する医療機関の認識と対策状況

──医療機関ではサイバー攻撃の脅威やリスクについて、十分に認識されているでしょうか。

ウィーメックス 菊地氏：この2〜3年の間で、徐々に意識が高まっている印象です。例えば、医療機関と商談をする過程で、セキュリティレビューや審議が年々厳しくなってきたと感じています。国立大学の病院は以前から厳しい体制で運用されていると認識していますが、中規模の病院でもガイドラインを踏まえた鋭い質問を受けるようになりました。

──セキュリティ対策は進んでいるでしょうか。

ウィーメックス 菊地氏：「3省2ガイドライン」が存在しつつも、どれだけ準拠するかは病院や組織の性格によって様々であると感じています。非常に厳格な体制の病院はしっかりと対策を取られている一方で、理解はしつつも100％の対策を講じるには至っていないという医療機関も多いように見受けられます。

サイバーセキュリティ確保のための最優先事項とは？

──2025年現在、医療機関および医療情報システム提供事業者が「優先的に取り組むべき対応」とは何ですか？

富士ソフト 佐々木：簡潔に申し上げると、次の3点です。

　①「サイバーセキュリティ対策チェックリスト」

　②「MDS/SDS」（「製造業者/サービス事業者による医療情報セキュリティ開示書」）

　③「3省2ガイドライン」

医療機関および提供事業者は最低限のセキュリティ対応に絞った「サイバーセキュリティ対策チェックリスト」を当該年度内に対応することが行政から求められています。
「MDS/SDS」については、医療機関から提供事業者に作成を依頼し、提出してもらうことが重要です。

提供事業者は、「3省2ガイドライン」に則って、システムの技術面、運用面を含め、サービス全体のセキュリティを確保する。その上で、「MDS/SDS」を使って適合状況を把握・確認し、セキュリティに関する情報を医療機関に開示します。

「3省2ガイドライン」は分量が非常に多く、内容も詳細かつ多岐にわたります。さらに作成しなければならない資料も多いので、提供事業者の方から難しいというお声をよく耳にします。私どものコンサルティングサービスでは、このような対応を含め、医療領域におけるサイバーセキュリティ全般のご支援を行なっております。

富士ソフト 降籏：これまで実施されていなかった、ガイドラインへの遵守状況の立入検査が2023年度から始まっているので、医療機関は対応を迫らせています。「サイバーセキュリティ対策チェックリスト」を活用して確認することは大事なことですが、これはあくまで最低限。10〜20項目と非常に少ないため、それだけではシステムのセキュリティ状況を正確に評価することはできません。そこで「MDS/SDS」があります。こちらは「3省2ガイドライン」をチェックリストにしたような内容となっていて、「MDS/SDS」を確認することで、大体のセキュリティ状況が把握できます。「はい」または「いいえ」にチェックをつける形式ですが、つけて終わりではなく、機能の対策や運用ルールの構築が必要。つまり、最終的には「3省2ガイドライン」に取り組むことが不可欠です。また、システムをご利用になる医療機関において、使う側の意識や安全な使い方など、リテラシーを高めるための教育も欠かせません。

ウィーメックス社が提供しているサービスとセキュリティの確保

──どのようなサービスを提供されているかお話しください。

ウィーメックス 菊地氏：当社が提供する製品・サービスの一つとして、リアルタイム遠隔医療システム「Teladoc HEALTH」があります。D to D（病病連携）または、D to P with N（遠隔地の医師が患者さんのそばにいる看護師を介して行う診療）を支援するためのシステムです。高拡倍率カメラを搭載したデバイスとアプリを使って、物理的に離れている病院と医療現場をオンラインで繋ぎます。「Teladoc HEALTH」のデバイスを患者さんのいる医療現場に設置し、遠隔地にいる医師がアプリでカメラを操作して診療支援を行います。このシステムを導入することにより、専門医のいない小規模病院や、へき地にある医療機関等が、近隣の専門医のいる基幹病院の支援を受けることが可能です。ドクターカーや巡回診療車への導入も進んでいます。

──遠隔医療システムの展開にあたり、サイバーセキュリティ対策として注意したポイントを教えてください。

ウィーメックス 菊地氏：提供を開始した当時、今現在もそうですが、病病連携を実現するための遠隔医療の市場がまだ形成されていませんでした。我々が市場を開拓する立場であり、「3省2ガイドライン」を仮に読めたとしても、第三者の支援なしに、自社単独で進めていくのはリスクだと感じ、コンサルティングサービスを探し始めました。

システムを導入することは実際に使う医療機関を巻き込んで成立することであり、全てがベンダーの責任として運用することはできません。そのためシステムを提供、および保守する上で、運用面を含めたセキュリティ対策が重要なポイントであると考えました。情報を開示し、責任分界を事前にきちんと取り決め、育てていく。このことがサイバー攻撃から身を守るために非常に重要だと認識しています。

富士ソフト社のコンサルティングではまず、ガイドラインに沿ってリスクアセスメントが綿密に行われ、リスクが浮き彫りとなりました。抽出されたリスク情報もとに、医療機関向けの透明性のある情報開示や責任分界の明確な説明ができるよう準備しました。

富士ソフトのコンサルティングサービスを導入した感想と今後の展望

──富士ソフトのコンサルティング導入の決め手となったポイントは何でしたか。

ウィーメックス 菊地氏：「Teladoc HEALTH」の提供開始を宣言していた状況でしたので、1分1秒でも早くガイドライン対応を整理し、販売できるようにしたいと、要望としてはわがままだったと思います。そのような中で、至急の依頼にも柔軟性を持って、迅速かつ真摯に対応していただいた点が決定打でした。

──担当者の印象についてお話しください。

ウィーメックス 菊地氏：期待以上でした。プロジェクト進行中は様々な事態が発生しますが、いつでも柔軟に対応しながら伴走していただきました。

ある時、「Teladoc HEALTH」の開発元の米国企業にセキュリティに関する専門的な確認が必要となり、富士ソフト社に相談しました。わかりやすく説明してくださったので、米国企業を相手に問題なくコミュニケーションをとることができました。非常に助かりました。

──今後の展望などを踏まえ、富士ソフトに期待していることがありましたら教えてください。

ウィーメックス 菊地氏：医療現場の悩みや課題を間近で見聞きしているウィーメックスと提供事業者向けにセキュリティ支援を行なっている富士ソフト社。この2社でタッグを組むことで、エンドユーザー向けの一歩進んだビジネスモデルを構築し、実現できるのではないかと考えています。あるいは、医療DXに挑戦している企業にノウハウの提供も考えられます。今後も意見交換を続けていきたいと思います。

富士ソフト 伊藤：医療領域における規制要求やガイドライン対応、セキュリティ対策、ソフトウェア開発等の専門部隊として培ってきた経験や知見を活かして、提供事業者へ技術的なサポートをすることが私たちの責務だと思っております。医療機関向けの指針も含め、医療業界全体のDX、ITの技術革新に寄与してまいりたいと思います。

●ウィーメックス株式会社について

ウィーメックス株式会社は、グローバルヘルスケア企業として事業を展開するPHCホールディングス株式会社（証券コード6523 東証プライム）の日本における事業子会社です。企画・開発から販売までワンストップでサービスを提供する新体制として、2023年4月より新会社として事業を開始しました。また、2025年10月1日にウィーメックスヘルスケアシステムズ株式会社を吸収合併しました。「メディコム」ブランドのレセプトコンピュータや電子カルテの他に、薬局経営のサポートや特定保健指導の支援、遠隔医療システムなどを提供しています。国内の「医療DX」を推進するヘルスケア IT製品・サービスを通じて、患者さんへの医療サービス向上と医療従事者の業務効率化に取り組んでいます。
https://www.wemex.com/

※記載の会社名、製品名は各社の商標または登録商標です。