MENU
個人情報保護
お問い合わせ

【院内SE必読】医療機関のBCP対策、6割が未整備!ランサムウェア攻撃に備える「本当に機能するバックアップ計画」の作り方

「うちの病院、バックアップは毎日取ってるから大丈夫」―― そう思っていませんか?

しかし、2025年8月の調査では、医療機関の約6割がBCP(事業継続計画)を整備していないという衝撃の結果が明らかになりました。さらに、バックアップを取得していても「復旧手順が未整備」「訓練を一度もしていない」という病院が大半です。

2026年現在、医療機関を狙ったランサムウェア攻撃は急増しており、電子カルテが暗号化されて診療が止まる事例が後を絶ちません。2021年のつるぎ町立半田病院の事例では、復旧まで約2か月、診療制限が続きました。

今回は、院内SE(医療情報技師)として「明日ランサムウェア攻撃を受けても診療を継続できる」バックアップ計画とBCP対策を、最新ガイドラインと実例から徹底解説します。

目次

医療機関のBCP整備が急務に―― ガイドライン改定と最新調査

2026年現在、医療機関のBCP(事業継続計画)とバックアップ対策をめぐる状況が急激に変化しています。

【最新動向】

1. 医療情報システム提供事業者ガイドライン第2.0版(2025年3月改定)

経済産業省・総務省が策定した「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」が第2.0版に改定されました。最大の変更点は、ベンダーと医療機関が「IT-BCP(情報システムの事業継続計画)の役割分担」を明確に合意し、契約書に落とし込むことが強く求められた点です。

2. 医療機関のBCP対策調査(2025年8月)

ある調査によれば、医療機関の約6割弱がBCPを未整備という結果が出ました。データ保全策として最も多いのは「院内サーバーで定期的にバックアップ取得(52.2%)」ですが、「復旧手順の文書化」や「訓練の実施」まで行っている施設は少数です。

3. ランサムウェア攻撃の増加

2021年のつるぎ町立半田病院、2021年のアイルランド保健サービス庁(HSE)、そして2025年にも国内複数の病院で診療制限が発生するなど、医療機関を狙ったランサムウェア攻撃は増加の一途です。攻撃者は「人命に直結するため身代金を払いやすい」「機微情報が多く二重恐喝しやすい」という理由で医療機関を標的にしています。

4. 厚生労働省の事務連絡(2026年1月27日)

厚労省は「医療情報システムの安全管理に関するガイドライン」に基づき、サイバー攻撃を想定したBCPが適切に機能するか、定期的な訓練・見直しを実施することを改めて医療機関に通知しました。

つまり、2026年以降、院内SE(医療情報技師)には「バックアップを取るだけ」ではなく、「ランサムウェア攻撃で電子カルテが止まっても診療を継続できる実効性のあるBCP」を整備する責任が課せられています。

本当に機能するBCP・バックアップ計画の作り方5ステップ

多くの医療機関が「バックアップは取っている」と答えますが、実際にランサムウェア攻撃を受けた際、そのバックアップで復旧できるかは別問題です。以下、院内SEが今すぐ取り組むべき5つのステップを解説します。

【①】「3-2-1ルール」でバックアップの冗長性を確保する

失敗事例: G県の診療所(無床)
毎晩、院内NASに電子カルテのバックアップを自動取得していたが、ランサムウェア攻撃でNASも暗号化され、バックアップごと使用不能に。結局、復旧できずシステムを再構築し、過去3か月分のデータを失った。

なぜ失敗したのか?

バックアップデータが「院内の同じネットワーク上」に保存されていたため、ランサムウェアがネットワーク経由で拡散し、バックアップも暗号化されました。これは「バックアップの単一障害点(SPOF)」と呼ばれる典型的な失敗パターンです。

院内SEがやるべきこと:

● 「3-2-1ルール」を徹底する
  - 3: データのコピーを3つ用意(本番+バックアップ2つ)
  - 2: 2種類以上の異なる媒体に保存(NAS+テープ、NAS+クラウド等)
  - 1: 1つは院外(オフサイト)に保管

「エアギャップバックアップ」を導入
  ネットワークから物理的に切り離されたバックアップ(外付けHDD、LTO テープ等)を定期的に保管

● クラウドバックアップの活用
  AWS Backup、Azure Backup、Google Cloud Storage等のクラウドサービスを利用し、地理的に離れた場所にデータを保管

【②】バックアップの「復旧テスト」を年1回以上実施する

失敗事例: H県の回復期リハビリ病院(120床)
毎日バックアップを取得していたが、実際にランサムウェア攻撃を受けてバックアップから復旧しようとしたところ、「バックアップファイルが破損していて読み込めない」「復旧手順書が古くて現システムと合わない」と判明。結局、ベンダーに緊急依頼し、復旧まで1週間かかった。

なぜ失敗したのか?

バックアップは取っていても、「そのバックアップで本当に復旧できるか」を一度も確認していなかったためです。これは「バックアップの幻想」と呼ばれる問題で、多くの医療機関が陥ります。

院内SEがやるべきこと:

● 年1回以上の「復旧訓練」を実施
  実際にバックアップからテスト環境を構築し、電子カルテが起動し、データが正常に復元されるかを確認

● 復旧手順書を最新化し、誰でも実施できる形にする
  院内SEが不在でも、他のスタッフやベンダーが手順書を見て復旧できるレベルに文書化

● 復旧時間目標(RTO)と復旧ポイント目標(RPO)を設定
  例: 「電子カルテは攻撃から4時間以内に復旧(RTO=4時間)、前日夜のデータまで復元(RPO=24時間)」

【③】「紙カルテ運用への切り替え手順」を全スタッフに周知

失敗事例: I県の精神科病院(150床)
ランサムウェア攻撃で電子カルテが停止したが、紙カルテでの代替運用手順が未整備。看護師が「紙でどう記録すればいいか分からない」とパニックになり、医事課も「手書きレセプトの書き方を誰も知らない」状態に。結局、軽症患者の診療を一時中止する事態に。

なぜ失敗したのか?

IT-BCPでは「システムが止まった場合、どう代替手段で診療を継続するか」が最重要です。しかし、多くの病院では「システムの復旧手順」ばかりに目が行き、「システムが復旧するまでの診療継続手順」が未整備です。

院内SEがやるべきこと:

● 「紙カルテ運用マニュアル」を作成
  診療科ごとに、紙でカルテを書く際のフォーマット、記載事項、保管方法を整理

● 医事課と連携し「手書きレセプト」の作成手順を確認
  電子カルテ停止時も保険請求できるよう、レセプト用紙の在庫と記載方法を確認

● 年1回の「システム停止訓練」を実施
  電子カルテを意図的に停止し、1時間だけ紙運用で診療を行う訓練を全職員で実施

【④】ベンダーとの「IT-BCP責任分界」を契約書に明記する

失敗事例: J県の総合病院(400床)
ランサムウェア攻撃でシステムが暗号化され、ベンダーに復旧を依頼したが、「バックアップからの復旧は有償」「復旧作業は平日9〜17時のみ」「ランサムウェア駆除は対応範囲外」と言われ、結局、別のセキュリティ専門業者に高額で依頼する羽目に。

なぜ失敗したのか?

2025年3月改定の「医療情報システム提供事業者ガイドライン第2.0版」では、ベンダーと医療機関が「IT-BCPの役割分界(誰が何をするか)」を事前に合意し、契約書に明記することが強く求められています。しかし、多くの病院では契約書に「障害時の対応範囲」が曖昧なまま放置されています。

院内SEがやるべきこと:

●  ベンダーとの契約書をチェックし、IT-BCP関連条項を追加
  - ランサムウェア攻撃時の復旧対応範囲(有償/無償)
  - 復旧作業の対応時間(24時間365日 or 平日のみ)
  - バックアップからの復旧責任(ベンダー or 病院)
  - 復旧時間目標(RTO)の保証

●  SLA(サービスレベル契約)に「障害時の補償条件」を盛り込む
   例: 「4時間以内に復旧できなかった場合、月額保守料金の50%を返金」

●  年1回、ベンダーと合同で「BCP訓練」を実施
   実際にシステム障害を想定し、ベンダーと院内SEが連携して復旧する訓練を行う

【⑤】「バックアップの暗号化対策」を強化する

最新の脅威: バックアップを狙う新型ランサムウェア

2025年以降、ランサムウェアは進化しており、「バックアップファイルを優先的に暗号化する」「バックアップソフトの設定を書き換えて取得を停止させる」といった手口が増えています。つまり、単にバックアップを取るだけでは不十分です。

院内SEがやるべきこと:

● バックアップデータ自体を暗号化して保存
  ランサムウェアに暗号化される前に、正規の暗号化で保護しておく(Veeam、Acronis等のツールが対応)

 「イミュータブルバックアップ」を導入
  一度書き込んだら上書き・削除できない形式でバックアップを保存(AWS S3のObject Lock、Azure Immutable Blob等)

● バックアップ管理者のアカウントを厳重に保護
  バックアップソフトの管理画面には多要素認証(MFA)を必須化し、特権IDの不正利用を防ぐ

執筆者のコメント

「バックアップは保険、BCPは避難訓練」――両方揃って初めて機能する

私自身、過去に中規模病院の院内SEとして、ランサムウェア攻撃の「一歩手前」を経験したことがあります。

ある日、院内のPCがマルウェアに感染し、セキュリティソフトが異常を検知しました。幸い、すぐにネットワークを遮断したため電子カルテへの感染は防げましたが、その後「もし電子カルテが暗号化されていたら、どうやって復旧するのか?」と上司に聞かれ、答えられませんでした。

バックアップは毎日取得していましたが、「復旧手順書」も「訓練」も一度もやったことがなかったのです。その経験から、私は「バックアップは保険、BCPは避難訓練」だと考えるようになりました。

保険に入っているだけでは火事から逃げられません。避難経路を確認し、消火器の場所を知り、年に一度は避難訓練をする。それと同じように、バックアップを取るだけでは不十分で、「復旧訓練」と「紙運用への切り替え訓練」を定期的に行って初めて、BCPは機能するのです。

また、院内SEとして痛感するのは、「BCPは一人では作れない」ということです。

電子カルテが止まったとき、診療を継続するかどうかは院長や看護部長が判断します。紙カルテでの運用は現場スタッフが担当します。ベンダーとの交渉は院内SE(事務部門)が関わります。つまり、BCPは病院全体のプロジェクトであり、院内SEはその「調整役」なのです。

今回の記事で紹介した5つのステップは、すべて「明日からでも始められる」内容です。まずは、自院のバックアップ状況をチェックし、ベンダーとの契約書を確認するところから始めてください。そして、年に一度でいいので、「今日、ランサムウェア攻撃を受けたら、どう対応するか」を病院全体でシミュレーションしてみてください。

その積み重ねが、いざというとき患者を守り、病院を守り、そしてあなた自身を守ります。

【まとめ】

BCP対策は「経営リスク」―― 院内SEは今すぐ行動を

医療機関のBCP対策とバックアップ計画について、重要ポイントを振り返ります。

【5つのステップ】

● 「3-2-1ルール」でバックアップの冗長性を確保 → エアギャップ、クラウド活用

● 年1回以上の「復旧テスト」を実施 → RTO/RPO設定、手順書最新化

● 「紙カルテ運用への切り替え手順」を全スタッフに周知 → システム停止訓練

● ベンダーとの「IT-BCP責任分界」を契約書に明記 → SLA見直し、合同訓練

● 「バックアップの暗号化対策」を強化 → イミュータブルバックアップ、MFA導入

【重要な事実】

● 医療機関の約6割がBCP未整備(2025年調査)

● ランサムウェア攻撃は増加の一途(2021年半田病院、2025年複数病院で被害)

● 2025年3月改定ガイドラインで、ベンダーとの役割分界明確化が必須に

BCP対策は「いつかやる」では手遅れです。ランサムウェア攻撃は「もし起きたら」ではなく「いつ起きるか」の問題であり、対策していない病院は経営リスクを抱えています。

「うちの病院は大丈夫」と思った瞬間が、一番危ないのです。

次回のランサムウェア攻撃の標的は、あなたの病院かもしれません。今すぐ、バックアップとBCPの見直しを始めてください。

トレンド 院内SE
参考になったらシェアしてね!
  • URLをコピーしました!
目次