医療機関のサイバー対策

はじめに

「すべてのファイルは暗号化されました！」このメッセージとともに、まさに悪夢のような日々が始まった。2022（令和4）年10月31日早朝、地方独立行政法人 大阪府立病院機構 大阪急性期・総合医療センターは、サイバー攻撃によって電子カルテを含めた病院総合情報システムに障害を来し、救急診療や外来診療、予定手術などの全面的な診療停止に追い込まれたのである。

地域における中核的な役割を担う病院として、あってはならないことが起こってしまった。「なぜ当センターが攻撃を受けたのか」「他病院での前年同日のサイバー攻撃を参考に、それなりの対応をしていたのではなかったのか」という思いを抱えつつ、まずは幹部職員を招集し、状況把握と紙カルテの運用など当面の診療体制の方針を決定した。続いて、大阪府立病院機構本部、大阪府、大阪府警、大阪市保健所、内閣サイバーセキュリティセンター、厚生労働省医政局など関係各方面に連絡をとった。そのなかで、厚生労働省からはサイバーセキュリティ初動対応支援チームの専門家を派遣していただき、発災当日よりウェブを通じて多くの支援・有益な助言を受けることができた。専門家の支援・指導のもと、ベンダーの協力を得て原因の究明に努めるとともに、職員および関係者が一丸となって復旧に取り組んだ。

当センターは大阪府の基幹災害拠点病院、高度救命救急センターとして、災害派遣医療チーム（DMAT）隊員40人以上を擁し、災害訓練・災害対応に力を入れてきた。さまざまな災害に対応するために事業継続計画（B CP）を整備・更新してきたが、サイバー攻撃によるシステム障害を想定したBCPはそれまで策定されていなかった。そのようななか、これまでの災害対応の経験を生かし、発災当日の正午には第1回の「大規模システム障害における事業継続対策本部会議（対策本部会議）」を開催し、医療現場の状況把握、当面の医療継続の方針決定などを行った。対策本部会議は当初は連日、3週目以降は数日おきに開催し、紙カルテの運用方法など診療現場での各部門間の対応のすり合わせを行った。このようにして一部の入院診療を継続しつつ、外来診療を再開・漸増させることができたのである。また、対策本部会議とは別に、病院、基幹ベンダー、ネットワークベンダー、専門家チームなど関係者によるシステム復旧会議が連日行われ、初動対応、進捗状況および復旧スケジュールの協議などが行われた。

地域における中核的役割を担う病院で診療継続に障害が生じたという社会的責任から、発生当日に第1回の記者会見を行い、以降も状況の進展に応じて記者会見や報道資料の提供などにより情報発信を行った。

障害発生から約6週間後には電子カルテシステムを含む基幹システムを再稼働させることができ、障害発生から43日目には外来での電子カルテ運用を再開した。12月中には病棟での電子カルテ運用を再開し、続いて通常診療に係る部門システムも2023年1月11日に再開して、診療体制が復旧するまでには73日を要したのである。なお、外来当日の会計再開は障害発生から66日目であった。

システムの再開にあたっては、計2,000台以上のサーバおよび端末を初期化・再インストールするとともに、指摘された脆弱性の改善を実施し、今後のさらなるサイバー攻撃にも対応できるための対策を講じた。また、このような事態を招いた原因究明と再発防止について検討を行うために、大阪大学の猪俣敦夫教授（サイバーメディアセンター 情報セキュリティ本部）を委員長とする「情報セキュリティインシデント調査委員会」を設置し、多角的視点による報告書と提言をまとめていただいた。この報告書は、全国の医療機関におけるセキュリティ対策強化の取り組みに役立てていただきたいとの思いから、当センターホームページに掲載している。

こうして振り返ると、私たちの日々の臨床活動がいかに病院情報システムに依存しているかを痛感する。そして近年、サイバー攻撃に対応するためのB CP作成の重要性が強調されるなか、病院がサイバー攻撃を受けた場合にどのような事態に陥り、どのような初期対応を行うべきかについて、技術的観点だけでなく医療継続の観点から、私たちの一連の経験を具体的に紹介することにより、多くの病院の参考にしていただけるのではないかと考え、本書を作成した。本書の企画を支援いただいたメディカ出版の皆様に深謝するしだいである。

最後に、サイバー攻撃後の診療制限により多大なご迷惑とご負担をおかけした患者ならびにご家族にお詫び申し上げるとともに、さまざまな形でご支援いただいた多くの皆様に篤く御礼申し上げる。

2025年9月

地方独立行政法人 大阪府立病院機構
大阪急性期・総合医療センター
総長 嶋津岳士