公益社団法人日本医業経営コンサルタント協会 大阪府・和歌山県連合支部主催 継続研修会 日時：2023.03.30.（木）　第2部　15：00 ～ 17：00 場所：ホテル阪急インターナショナル 　医療機関へのサイバー攻撃を起因とした被害は、ITレベルの「医療情報システムの異常」に留まるケースと、それを超え、医療経営レベルの「個人情報保護問題」や「医療安全問題」に達するケースがある。 　近年、医療機関へのサイバー攻撃を起因とした医療経営レベルの被害「医療安全問題」が多数顕在化している。また、それにより、厚生労働省は「医療情報システムの安全管理に関するガイドライン」（以下、安全管理ガイドライン）を頻繁に改定し、医療機関におけるサイバーセキュリティ対策の徹底を促し、医療安全の確保を求めている。 　本寄稿は医療経営レベル「医療安全問題」に的を絞ると共に寄稿者個人の見解であり当協会の見解ではないことをご留意の上ご参考になれば幸いである。

1. 医療機関へのサイバー攻撃の
現状と危機管理対応、将来構想（提言）*
近畿地区協議会 医療DX研究会 主任研究員
大阪府・和歌山県連合支部主催 継続研修会
日時：2023.03.30.（木） 第2部 15：00 ～ 17：00
場所：ホテル阪急インターナショナル
Ver 1.1
*個人の見解

2. 1
０．本研修の目的
（１）機関誌JAHMC 2022年12月号寄稿
「医療機関へのサイバー攻撃の現状と
危機管理対応、将来構想（提言）」
の解説
（２）2023年度近畿地区協議会調査研究事業
「医療DX研究会」の概要説明と
研究員の募集案内

3. 2
１．はじめに
（１）公的な活動実績（近畿地区協議会）
（２）医療機関へのサイバー攻撃の現状
２．医療を取り巻く外部環境変化
（１）医療業務の急速なICT化
（２）サイバー攻撃の反社会的なビジネス化
４．将来構想（提言）
（１）セキュアな医療クラウド共通基盤整備
（２）関係法令の改正、特別法の制定
（３）医療DXによる新しい価値創造
５．【医療DX研究会】研究員公募のご案内
３．危機管理対応
（１）安全管理に関するITマネジメント
（２）非常時の医業経営マネジメント
*個人の見解
table
of
contents

4. １．はじめに （１）公的な活動実績（近畿地区協議会）
3
「サイバーセキュリティ演習研究会」発足
病院向けサイバーセキュリティ机上演習シナリオ開発
第23回医業経営コンサルタント学会発表
島根県警・サイバーセキュリティ机上演習実施
ファシリテータ
（研究会メンバー）
机上演習シナリオ
プレイヤ
（参加者＝病院職員）
2018年
04月
2018年度
2019年
10月
2020年
2月
戦略としてのリスクマネジメント広報セミナー
2021年
11月
機関誌 JAHMC 2022 年 12 月号寄稿（本講義テーマ）
2022年
12月

5. 【病院向けサイバーセキュリティ机上演習シナリオ開発】
（１）背 景
「医療」分野を含め14分野の重要インフラ分野において、
サイバー攻撃に対するIT障害の未然防止、発生時の被害拡大防止・迅速な復旧およ
び再発防止などを推進。
内閣サイバーセキュリティセンター（NISC）
■ サイバー攻撃による病院の診療業務に影響が発生することを前提に、病院の組織
横断的な医療安全リスクマネジメントが機能するかどうかを事前に検証しておくこと
が必要不可欠。
■ しかしながら、サイバー攻撃による医療安全リスクマネジメント機能を検証し自病院
の緊急事態対応体制やルール（安全管理規程、業務継続計画（BCP）など）の不備
を洗い出し改善に繋げるような机上演習は官民学とも無い。
4
■ 「災害拠点病院」の指定要件として、業務継続計画（BCP）策
定の義務化等を追加。
■ 「医療機関等におけるサイバーセキュリティ対策の強化につ
いて」を発出し、医療関係機関に注意喚起。
厚労省
東京2020
オリンピック・
パラリンピック

6. 【病院向けサイバーセキュリティ机上演習シナリオ開発】
（２）目 的
■ サイバー攻撃を起因とした病院の組織横断的な各種リスクマネジメント機能強
化に寄与することを目的に、関係団体と連携して、病院管理職向けのサイバー
セキュリティ机上演習シナリオを開発。
■ 机上演習に参加者（病院職員）が、演習の体験や気づきを自病院に持ち帰り、
自病院のサイバー攻撃に対する対応計画「緊急事態対応体制やルール（安全
管理規程、業務継続計画（BCP）など）」の見直しに繋げて頂く。
5

7. 【病院向けサイバーセキュリティ机上演習シナリオ開発】
「机上演習」のフロー
6
【アサイン】
プレイヤ（参加者）にシナリオ上
の病院職員の役職をアサイン。
（その役職に成りきってロール
プレイング。）
【ファシリテート】
問題点をあぶり出すように、ファ
シリテータが適宜状況を付与し、
プレイヤを課題に誘導。
【リアルな疑似体験】
プレイヤはシナリオで設定されたリアルな状況下で、実際に遭遇
する様々な場面を対応。
ファシリテータ
（研究会メンバー）
机上演習シナリオ
プレイヤ
（参加者＝病院職員）
【振り返り】
演習を振り返り、問題点を
抽出・整理しグループ発表。
（発表後、ファシリテータが
コメント。）
【自病院への反映】
演習の体験や気づきを自
病院に持ち帰り、自病院の
対応計画を見直し。

8. 7
【病院向けサイバーセキュリティ机上演習シナリオ開発】
「机上演習」の領域

9. ニーズ調査
７～９月
【病院向けサイバーセキュリティ机上演習シナリオ開発】
（２）体 制
当協会
近畿地区協議会
当研究会
2018.06～2019.03
ＯＮ：グループウェア
ＯＦＦ：1回／月（第3土）
近畿地区
各支部から参加
計８人
岡谷講師
アドバイザー
病院医療情報部職員
情報処理安全確保支援士
弁護士など
オブザーバー
JPCERT／ＣＣ
国立情報学研究所
保健医療福祉情報システム工業会
国立精神・神経医療研究センター
ご賛同・ご協力病院
社会医療法人 愛仁会
済生会吹田病院
済生会中津病院
多根総合病院
京都第一赤十字病院
洛和会音羽病院
竹田綜合病院
佐世保中央病院
熊本赤十字病院 計 ９病院
ご指導
ご支援
机上演習試行
2019.02.（大阪）
机上演習
シナリオ
ご参加
５～６人／Ｇ×１Ｇ
募集案内
１２月
ご指導
ご支援
8
（五十音順）

10. 【病院向けサイバーセキュリティ机上演習シナリオ開発】
外部有識者（９名）
9
区分 氏 名 所 属
講 師 当分野の第一人者で講師として招き、ご指導頂く。
岡谷 貢
NPO日本ネットワークセキュリティ協会
問題検証型机上演習指導教官
アドバイザー 当研究員の知識や経験を補うために、アドバイザーとしてアドバイスを頂く。
山田 夕子 社会医療法人 愛仁会本部 医療情報部
福本 洋一 弁護士法人 第一法律事務所 パートナー
飯田 哲哉 株式会社日本経営 組織人事コンサルティング部
堀内 武志
情報セキュリティスペシャリスト（情報処理安全確保支援士）
プライバシーマーク審査員
オブザーバー 関係団体との連携の下、当分野の有識者のご協力を頂く。
有村 浩一
一般社団法人 JPCERTコーディネーションセンター
常務理事
高倉 弘喜
国立情報学研究所
サイバーセキュリティ研究開発センター・センター長
アーキテクチャ科学研究系・教授
茗原 秀幸
一般社団法人保健医療福祉情報システム工業会
医療システム部会 セキュリティ委員会 委員長
緒方 健
国立研究開発法人国立精神・神経医療研究センター
精神保健研究所 精神医療政策研究部
PECO研究委嘱セキュリティアドバイザー
（敬称略）
当分野の第一人者
（元防衛省自衛隊）

11. 【病院向けサイバーセキュリティ机上演習シナリオ開発】
ご賛同・ご協力病院(９病院)
10
京都第一赤十字病院
洛和会音羽病院 （２病院）
竹田綜合病院
佐世保中央病院
熊本赤十字病院
社会医療法人 愛仁会
済生会 吹田病院
済生会 中津病院
多根総合病院 （４病院）
*五十音順

12. １．シナリオの狙い
①電子カルテのデータが暗号化され使用不能事態が発生したと設定。
②院内だけでなく、外部関連組織とリアルに対応するストーリーとした。
③厚労省「安全管理ガイドライン」を守っているように見えて守っていない
病院が少なからず存在する現状を鑑み、注意喚起を含め、敢えて問題
のあるネットワーク設計及び運用を前提にした。
11
地域連携協議会
大阪府保健医療室
大阪府警
厚生労働省
マスコミ
内閣府個人情報保護委員会
【病院向けサイバーセキュリティ机上演習シナリオ開発】

13. 【シナリオ概要】
①電子カルテシステムのデータが暗号化され使用不能事態が発覚し、当該病院が緊
急対応（危機管理本部を設置）を行っている段階とする。
【演習実施要領】
① プレイヤーは、各々の役割（右図①～⑤）を
演じ、「既存規程類（内外環境設定書）」に
基づく組織対応を行う。
病院長
事務局（事務部長）
診
療
部
長
看
護
部
長
医
療
技
術
部
長
医
療
連
携
室
長
危機管理本部長（個人情報保護管理者）
情
報
シ
ス
テ
ム
室
長
経
営
企
画
課
広
報
室
長
長
①
②
④
③
⑤
12
＊ 青枠以外の職員や外部関係者は、
ファシリテータが担う。
【病院向けサイバーセキュリティ机上演習シナリオ開発】

14. 【病院向けサイバーセキュリティ机上演習シナリオ開発】
(1)初動段階及び判断対応段階（エスカレーション）
【ファシリテーション（気づきのポイント） 】
Ｆ１．ウイルス感染システム障害時の対応基準、機器等停止範囲判断基準を定めているか？
Ｆ２．電子カルテシステム使用不能時の「診療継続・患者対応等初動対応手順」は検討済みか？
Ｆ３．院内医療安全管理体制の発動要否について、何を判断基準（根拠）としたか？
Ｆ４．外部関係組織への報告要領は規定されているか？
06：30 状況③[安全管理委員会招集]
「電カル運用中止！指示」
△月△日05：40 状況①[異常報告]
電カル端末に変な画面が出て使えない！
情報システム室
当直職員
安全管理委員会
06：00 状況②[感染確認]
脅迫型ウイルス感染！
侵入経路は不明…

15. 14
【病院向けサイバーセキュリティ机上演習シナリオ開発】
14
(2)被害拡大及び応急復旧段階
【ファシリテーション（気づきのポイント） 】
Ｆ５．医療機器が被害対象になった場合の対応要領は検討されているか？
Ｆ６．医療機器が被害対象になった場合の関係部署への報告要領等は確立されているか？
Ｆ７．大阪府警への被害届は検討したか？
(3)応急復旧段階
【ファシリテーション（気づきのポイント） 】
Ｆ８．平常体制移行タイミングの判断基準及び移行手順は検討されているか？
安全管理委員会
13：40 状況⑥ [指示]
感染拡大防止の為、ＬＡＮから切り離し
13：30 状況⑤ [報告]
マンモグラフィが感染元と判明。
安全管理委員会
16：30 状況⑦ [報告]
汚染端末、サーバ初期化完了
バックアップ・データ仮復旧完了
16：45 状況⑧ [指示]
仮復旧、平常移行！
情報システム室
情報システム室

16. 医療機関をめぐるサイバーセキュリティへの関心が非常に高まっていること
を示すように、ＮＨＫ大阪放送局が密着取材。
当日18：45～ ＮＨＫ 関西ローカルニュースで放映！
【病院向けサイバーセキュリティ机上演習シナリオ開発】
ＮＨＫニュースで放映！
15
ＮＨＫ撮影スタッフ

17. 16
演習終了後、ロールプレイングを振り返って、問題点の抽出・整理。
■ 検討（検証）結果の整理
【病院向けサイバーセキュリティ机上演習シナリオ開発】

18. ■ 参加した病院職員の声
○ 実際の場面が設定されたことで問題点や課題が具体的に洗い出された。
○ 演習での「気づき」を自病院に持ち帰り、サイバー攻撃に対する被害拡大
防止や迅速な復旧への応用・展開、BCP（業務改善計画）の見直しにつな
げたい。
■ 本演習の満足度100%と予想以上の結果となり、本演習の有効性が確認
出来た。
【病院向けサイバーセキュリティ机上演習シナリオ開発】
まとめ
17
Q1-1. サイバー攻撃の特性に関
する「気づき」が得られまし
たか？
Q1-2. 院内検討に資すると評
価しますか？

19. 18
１．はじめに （２）医療機関へのサイバー攻撃の現状
・サイバー攻撃
引き金事象
医業経営レベル
「医療安全問題」
「個人情報保護問題」
に達するケース
IT レベル
「医療情報システムの異常」
に留まるケース
被害
・地震、火災、風水害等
の自然災害
・操作ミス等
の人的エラー
・機器の不具合
■医療機関へのサイバー攻撃を起因とした被害は、IT レベルの「医療情報シ
ステムの異常」に留まるケースと、それを超え、医業経営レベルの「個人情
報保護問題」や「医療安全問題」に達するケースがある。

20. 19
１．はじめに （２）医療機関へのサイバー攻撃の現状
○ 近年、医療機関へのランサムウェア攻撃＊による医業経営レベルの被害
「医療安全問題」が多数顕在化している。
昨年10月、大阪府の災害拠点病院（基幹災害医療センター）では患者の電
子カルテをはじとする医療データがすべて暗号化され病院内で利用できな
くなり、全面復旧までに2か月がかかるなど、大きな被害が出ている。
＊Ransom（身代金）＋Software の造語。パソコンやサーバのデータを暗号化し、復元のための
身代金を要求するウイルス。身代金を支払わない場合、窃取したデータの公開による二重脅
迫もある。
○ 医療機関の多数の被害により、厚生労働省は「医療情報システムの安全
管理に関するガイドライン」（以下、安全管理ガイドライン）を頻繁に改定し、
医療機関におけるサイバーセキュリティ対策の徹底を促し、医療安全の確
保を求めている。⇒次ページへ

21. 20
１．はじめに （２）医療機関へのサイバー攻撃の現状
年 月 公表元又は発出元 概 要
2017年 5月 厚生労働省 安全管理ガイドラインを第5版に改定。（サイバー攻撃の動向への対応など。）
2018年 10月 奈良県宇陀市立病院 （奈良県宇陀市）
① 電子カルテのデータが暗号化され使用不能。② 復旧に必要なバックアップデータがとれていなかった。
③ 前月まで運用していた紙カルテで代替。
2019年 7月 総合高津中央病院（神奈川県川崎市） ① 病院医療システムダウン② 約2週間でシステム復旧し、通常診療業務を再開。
1月 厚生労働省 安全管理ガイドラインを第5.1版に改定。（サイバー攻撃等による対応など。）
5月 市立東大阪医療センター (大阪府東大阪市)
① 医用画像参照システムサーバのデータが暗号化され使用不能。
② 復旧に必要なバックアップデータも暗号化。③ 患者の予約日の変更、 他院の紹介及び画像等の撮り直し。
10月 富士病院（静岡県御殿場市）
① 電子カルテのデータが暗号化され使用不能。
② 診療の一部制限。
③ 海外のサーバへ個人情報等が流出した可能性有り。
10月 つるぎ町立半田病院(徳島県つるぎ町)
① 電子カルテのデータが暗号化され使用不能。② 新規外来患者の受入れ停止、手書きで紙カルテに記録。
③ 2ヶ月間にわたり病院機能が一部停止。
1月 春日井リハビリテーション病院（愛知県春日井市） ① 電子カルテ、医事会計のデータが暗号化され使用不能。② 診療録や看護記録、受け付け業務は手書きでの対応。
3月 厚生労働省 安全管理ガイドラインを第5.2版に改定。（サイバー攻撃の多様化・巧妙化など。）
4月 青山病院（大阪府藤井寺市） ① 電子カルテのデータが暗号化され使用不能。② 予備用のデータを使って診療継続。
6月 鳴門山上病院（徳島県鳴門市）
① 電子カルテのデータが暗号化され使用不能。② 新規外来患者の受入れ停止
③ オフライン化したバックアップサーバから復旧。
9月～ 厚生労働省
安全管理ガイドラインを第6.0版に改定検討中。（2022年度中に発出予定）
・全体構成を見直し、経営管理編、運用管理編、管理実装編の３編構成。
・医療機関等における複数ベンダーにおける責任管理等の考え方を示すなど。
10月
⼤阪急性期・総合医療センター
（⼤阪市住吉区）（基幹災害医療センター）
① 電子カルテシステムを含む基幹システムやバックアップなどのデータが暗号化され使用不能。
② 緊急以外の手術や新規外来診療を停止。（全面復旧まで約2カ月間）
③ ランサムウエアの侵入口は、病院と給食データ連携している委託先のVPN装置（リモートメンテ用）。
3月 厚生労働省
医療法施⾏規則の⼀部を改正。
・病院・診療所・助産所の管理者が順守すべき事項としてサイバーセキュリティーの確保を新たに位置付け。
5月 同上 安全管理ガイドライン第6.0版を公表予定。
2021年
2022年
2023年

22. 21
２．医療を取り巻く外部環境変化
（１）医療業務の急速なICT化
○医療情報システムは、電子カルテや医事会計などの「基幹系システム」と各部門
（画像診断、生理検査、検体検査、手術、看護、薬剤、リハビリなど）の業務を行う
ための複数の「部門システム」で構成されている。
基幹系
診療・病棟部門
医事部門
経営部門
画像診断部門
生理検査部門
検体検査部門
手術部門
薬剤部門
給食部門
リハビリ部門
事務部門

23. ● 前述のため、それぞれの業務に精通した複数の情報システム開発企業（以下、
ベンダー）に開発、保守を委託しているのが現状である。
● さらに、近年の医療業務の急速な ICT 化により、医療情報システムは高度化、
複雑化、ネットワーク化が進んでいる。
■ 医療機関と個々のベンダーとの「ハードウェア」、「ソフトウェア」 及び「ネットワー
クインフラ」の保守範囲、保守内容が複雑に絡む。
■ その結果、複数のベンダー間の保守責任範囲の切り分けが不明確になる傾向
がある。
22
２．医療を取り巻く外部環境変化
（１）医療業務の急速なICT化

24. 23
２．医療を取り巻く外部環境変化
（２）サイバー攻撃の反社会的なビジネス化（1/2）
■ 侵入口となるデータは「初期アクセス」と呼ばれ、パソコンを遠隔から操作する「リモート
デスクトップ」や、社外から社内システムにつなぐVPN（仮想私設網）などへのログイン認
証情報が、匿名性の高い闇サイト群「ダークウェブ」上で公開又は売りに出されている。
■ 初期アクセスの売買を担う専用ブローカーが台頭しており、ランサム攻撃は一層拡大す
る恐れがある。
引用：日経新聞2021.08.01.

25. 24
２．医療を取り巻く外部環境変化
（２）サイバー攻撃の反社会的なビジネス化（2/2）
■ ランサムウエア攻撃クラウドサービスRaaS（ランサムウエア・アズ・ア・サービス）
RaaSの管理パネルで、簡単にランサムウエア攻撃を仕掛けることが出来る。
①データを暗号化するランサムウエアのプログラムを提供。
②盗んだデータを公表する場を提供。
③大量のデータを送信するDDoS攻撃機能などを提供。
④身代金の支払い管理機能も提供。RaaSの料金は成功報酬型（身代金の10%～30%）
引用：日経クロステック2021.08.25.
RaaS管理パネルの事例

26. 25
ランサムウェア攻撃による被害に至った推定（1/2）
① 通常の医療業務では、医療情報システムをインターネットに接続していなく
ても、ベンダーが VPN 装置経由、インターネット側から遠隔保守すること
について、医療機関が潜在的なリスクの認識なしに任せている場合がある。
② 複数ベンダー間の保守責任範囲の切り分けが不明確なため、すでに
（2019 年）判明していた VPN 装置の脆弱性に対するセキュリティアップ
デートの保守作業をせず、運用し続けていた。
VPN 装置
インター
ネット
ベンダー
①インターネット VPN で
遠隔保守
医療機関
②公表されている
脆弱性を放置

27. 26
③ 8 万 7,000 台の当該 VPN 装置の IP アドレス（いわゆる、インターネット
上の住所番地）およびログイン認証情報が匿名性の高い闇サイト群「ダー
クウェブ」上で公開されていることが 2021 年に発覚。
④ 公開された大量の VPN 装置のログイン認証情報等をRaaS などのツール
を利用して医療機関、一般企業を問わず、脆弱性対策をしていない VPN
装置を侵入口にランサムウェア攻撃 。
VPN 装置
インター
ネット
ベンダー
④ランサムウェア攻撃
ランサムウェア攻撃による被害に至った推定（2/2）
攻撃者はイン
ターネット側に
いる！
②公表されている
脆弱性を放置
①インターネット VPN で
遠隔保守
ログイン
認証情報
③ダークウェブ上で公開
医療機関

28. 27
医療機関には、このようなランサムウェア攻撃による被害を我が事として、平時
及び非常時の組織成熟度の向上が望まれる。
（１）安全管理に関するITマネジメント
（２）非常時の医業経営マネジメント
３．危機管理対応
経 時
医療提供レベル
（２）非常時の
医業経営マネジメント
（１）安全管理に関するITマネジメント （１）安全管理に関するITマネジメント
応急
初動 復旧
平時
サイバー攻撃

29. 28
1）複数ベンダーのマネジメント強化
① 個々のベンダーとの「ハードウェア」、「ソフトウェア」及び「院内外のネット
ワークインフラ」の保守範囲や具体的な保守内容の精緻化。
② 個々のベンダー間の保守責任範囲の切り分けおよび明確化。
③ 医療機関と個々のベンダー間のコミュニケーション（報告・連絡・相談）の標
準化及び円滑化。
④ 以上に基づき、委託契約書を改定。
ちなみに、委託元と委託先という上下関係ではなく、医療業務の安全確保及
び効率化のための戦略的なパートナーとして対等の立場で意見を言い合える
信頼関係を医療機関が先導して醸成することが望まれる。
３．危機管理対応
（１）安全管理に関するITマネジメント（1/6）
委託
契約書

30. 29
2）情報セキュリティの見直し
ランサムウェア攻撃に的を絞ると、以下の点が重要である。
① -1.医療情報システムとインターネットとの接点の洗い出し＆
-2.リスクアセスメント及びリスク対策
② バックアップデータのオフライン保管の追加
３．危機管理対応
（１）安全管理に関するITマネジメント（2/6）

31. 閉域 IP
通信網*
30
３．危機管理対応
（１）安全管理に関するITマネジメント（3/6）
①-1. 医療情報システムとインターネットとの接点の洗い出し
前述の改定した委託契約書に基づき、
a．まず、VPN 装置やファイアウォール装置等の脆弱性対策の実施。
b．院外とのネットワークインフラは、インターネット VPN から、より安全な
閉域 IP 通信網*を利用したVPN（IP-VPN）に切り替える。（サイバー攻
撃はインターネット側から。 ）
30
VPN 装置
インター
ネット
ベンダー
ランサムウェア攻撃
攻撃者はインター
ネット側にいる！
a. 公表されている
脆弱性対策済
b．IP-VPNで
遠隔保守
* 通信事業者が提供するインターネットに接続されていない閉じたネットワーク
医療機関

32. 31
３．危機管理対応
（１）安全管理に関するITマネジメント（4/6）
①-2.リスクアセスメント及びリスク対策
諸般の事情でやむを得ず、インターネットVPN を利用しなければならない場合
ⅰ．潜在的な種々のリスクを十分に洗い出し、
ⅱ．それらを明確に認識した上で、複数の安全管理措置（次ページ：事例参照）
を適切に組み合わせて適用。
ⅲ．また、一部署（情報システム担当部署）で判断せず、医療機関全体の組織
的な意思決定プロセスを経ることが非常に重要である。
⇒ （医療機関の IT ガバナンス向上）
31

33. 32
３．危機管理対応
（１）安全管理に関するITマネジメント（5/6）
ⅱ-1 ．インターネットからの不特定多数のアクセスによるリスクをできる限り低
減するために、外部拠点（接続元）の IP アドレスを制限（併せて、不要
な通信ポート*を閉じる）。
ⅱ-2．ログイン認証情報のパスワードの強度を向上。さらに、ID、パスワード
の「知識情報」のみの単要素認証から「所持情報」、「生体情報」も含め
た 2 要素以上の多要素認証の導入。
ⅱ-3 ．定期的なアクセスログのチェックとチェック結果（たとえば、不正アクセ
スの恐れなど）に基づいたパスワードの変更など。
ⅱ-4 ．さらに、不審な通信等の稼働状況のオンライン監視と自動アラート通知
機能の導入。
32
* ポート（ポート番号）：インターネットの TCP/IP 通信において、コンピュータが通信に使用するプログラムを識別す
るための番号。 ポート番号は 16 ビットの整数であり、0 番～ 65535 番まである。
例えば、IP アドレスを住所及びアパート名とするならば、ポート番号はアパートの部屋番号で、ホームページを見
る HTTP は 80 番ポートを、HTTPS は 443 番ポートを使用している。

34. 33
３．危機管理対応
（１）安全管理に関するITマネジメント（6/6）
委託先等の外部組織と、オンラインで自院の医療情報システムがつながって
いる場合、外部組織へのサイバー攻撃の影響 が自院にも波及（一点鎖線）
するため、その接点も監視対象とすることが求められる。
② バックアップデータのオフライン保管の追加
a．院内ネットワーク上のバックアップデータも暗号化され使用不能になるため、
院内ネットワークから切り離したオフラインでの保管も追加措置要。
b．また、平時に、当該バックアップデータから復旧できることを定期的に確認
しておくことも重要である。
閉域 IP
通信網
VPN 装置
インター
ネット
ランサムウェア攻撃
攻撃者はインター
ネット側にいる！
IP-VPN 外部組織
IP-VPN
インターネット
VPN
↑監視対象要
VPN 装置
公表されている
脆弱性を放置
医療機関

35. 34
1）サイバー攻撃に対する BCP の策定
種々の対策を行っても、「サイバー攻撃を100％防ぐことはできない」（内閣
サイバーセキュリティセンター）。
■ すでに、バックアップの運用上の脆弱性を狙い、バックアップのオフライン保存をしていてもデータ
を回復できない「ランサムウェア攻撃ループ」 *という攻撃手法による被害が発生。
したがって、サイバー攻撃を防ぎきれず、医療業務に影響が発生することを
前提に、サイバー攻撃に対する BCP を策定しておくことが医業経営上、重要
である。
３．危機管理対応
（２）非常時の医業経営マネジメント（1/2）
* 侵入後、すぐに暗号化を始めるのではなく、侵入先に潜伏し、潜伏期間中に、数カ月分のバックアップしか保持し
ていないことなど、「運用上の脆弱性」を狙う。
ランサムウェアが攻撃を始める頃には、ほとんどのバックアップにランサムウェアが存在する状況が生まれ、バッ
クアップを復元しても役に立たない。

36. 35
2）サイバー攻撃に対する BCP の事前検証
さらに、策定した BCP により、
① 医療機関の組織横断的な医療安全リスクマネジメントが実際に機能するか？
当サイバーセキュリティ演習研究会の 2018 年度調査研究事業の成果物「病院管理職向けサイバーセ
キュリティ机上演習シナリオ」をベースに個々の医療機関や地域医療特性に合わせてカスタマイズし、事
前検証用として活用していただければ幸いである。
３．危機管理対応
（２）非常時の医業経営マネジメント（2/2）
② 円滑に院内外のリスクコミュニ
ケーションをとり収束に導ける
か？（右図）
などを机上演習等で事前に検証し
ておくことも必要不可欠である。

37. 36
「日本病院会 相澤孝夫会長が、四病院団体協議会総合部会後の会見で、
医療DXを推進させる政策が講じられている中で、サイバーセキュリティ対策
が病院で十分に整えられていないことを懸念する意見が相次いだことを報告。
安全性を担保した上で、オンライン資格確認や電子処方箋などの普及を図る
べきと強調した。」（全日病ニュース2022年3月1日号）
多くの病院は、十分なセキュリティ対策を行い難い種々の課題がある。
全日病ニュース2022年3月1日号

38. 37
病院の外部環境課題（1/2）
引用：日本病院会サイト
https://www.hospital.or.jp/pdf/06_20220331_01.pdf

39. 38
病院の外部環境課題（2/2）
① 医療機関では診療報酬は公定価格であるため、
セキュリティ対策費（コスト）を診療請求価格（売上）に反映出来ない。
② 医療機関では、施設基準やその他、諸々の法令・通達・ガイドラインで
種々の規制を受けているため、
一般企業のような変革（業務プロセスや事業モデルを変革し、「大幅なコストダウ
ン」や「新しいビジネスの創造による収益拡大」 ）ができず、DX 化の初期投資や
運用経費が重くのしかかるであろう。

40. 39
病院の内部環境課題
① セキュリティ専門人材や、医業経営と IT との橋渡しができる人材などが不
足している。
② 一方、厚生労働省「安全管理ガイドライン」は、セキュリティ対策として、安
全管理措置の導入だけではなく、マネジメントシステムの導入を求めてい
る。
当該マネジメントシステムの導入には、
a.医業経営者の強いリーダーシップ
b.ある一定レベル以上の組織成熟度
が求められるため、一朝一夕には対応できない病院が多数あるのではと
懸念する。

41. 40
（１）セキュアな医療クラウド
共通基盤整備
４．将来構想（提言） *
（２）関係法令の改正、
特別法の制定
（３）医療DXによる
新しい価値創造
医療DX
*個人の見解、以下同様

42. 41
■ 地方自治体は少子高齢化・住民減少による財政悪化
■ 「自治体クラウド」の導入（2013年6月14日閣議決定）
市町村が個別に行政システムを開発保守するのではなく、クラウド化により
共通部分を作り、それを各市町村が共同で活用して効率化。
●「ガバメントクラウド」の活用（2022年10月7日閣議決定）
地方公共団体情報システムを 2025 年度までに「ガバメントクラウド」を活用
した標準準拠システムへの移行。
４．将来構想（提言） *
（１）セキュアな医療クラウド共通基盤整備（1/3）
（参考）地方自治体

43. 42
■ 個々の病院で個別に電子カルテ等のサーバを設置し運用・保守。
① 個々の病院で、個別に医療情報システムを構築・管理し、さらにセキュリティ
知識を持つスタッフを確保するのは予算的にも人的にも大変困難である。
●セキュアな医療クラウド共通基盤整備
サイバー攻撃に耐え得るセキュリティが確保された医療クラウドの共通インフ
ラを構築し、共同で活用して保守の効率化（セキュリティ管理や監視等も集約し
一元管理）を図ることが解決策の 1 つに成り得ると考える。
① 医療従事者は、本来の業務である医療業務に集中でき、厚労省施策「働き
方改革」にも非常に寄与するであろう。
４．将来構想（提言） *
（１）セキュアな医療クラウド共通基盤整備（2/3）

44. 43
② さらに、医療情報システムは、院内ではなくクラウド側にあるので地理的な
制約がないため、地域医療における医療機能において、
a.専門的医療の「集約」
b.日常的身近な医療の「分散」
のバランス*および連携も柔軟にとりやすくなり、住み慣れた地域で治療や
療養生活を送る地域住民にとってもメリットがある。
● 医療クラウドによる、医療情報システムの「集約化と共同利用」として、
a.地域医療連携推進法人や二次または三次医療圏単位で行うのか。
b.ガバメントクラウドのように国が主導するのか。
● 公的な医療インフラの構成員である保険医療機関の 8 割は民間事業者で
あるが、公的資金を「医療クラウド」の構築に投入することは、コロナ禍により
日本の医療提供体制の脆弱性が明らかになった今、国民の理解は得られる
のではないか。
４．将来構想（提言） *
（１）セキュアな医療クラウド共通基盤整備（3/3）
*引用：村上正泰氏：医療機能の「集約」と「分散」の在り方に
ついて、日医総研リサーチレポート No.130、2022 年 6 月
15 日（https://www.jmari.med.or.jp/result/report/post-
3447/）

45. 44
毎年 40 兆円を超える膨大な日本の国民医療費は、本人負担分と保険料で
は賄えず、 国民皆保険を維持するために、約 40％を公費で賄っている。
そのお陰で私たち国民は安い医療費で高度な医療を消費しているのである。
４．将来構想（提言） *
（２）関係法令の改正、特別法の制定
引用：厚生労働省「我が国の医療保険について」
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryouhoken/iryouhoken01/index.html

46. 45
約 40％を公費で賄っている医療の消費に伴い発生した医療情報は、次
の表裏一体の二面性がある。
二次利用（公衆衛生、医学研究、過度に海外依存しない国産のワクチン
や医薬品等の開発、ヘルスケアサービスなど）による恩恵を国民全体が受け
る「権利」がある。
しかしながら、二次利用による恩恵を国民全体が十分に享受できている
とは言い難い。
４．将来構想（提言） *
（２）関係法令の改正、特別法の制定
【表面】
本人の要配慮個人情報
↓
一次利用（本人の治療）
【裏面】
国民の貴重な医療情報資源
（以下、【国民医療情報資源】）
医療情報

47. 46
【国民医療情報資源】は、次の課題があり、「豊かな国民生活の実現に資す
る」 資源として有効活用が進んでいない。
① 官民とも分散構築し、部分最適化された個別の医療情報システムのデータ
ベースに蓄積している。（例えば、同じデータ名称でも定義が異なる⇒データの標準化要。）
② これらのデータベースの連携や結合、二次利用等に一般法である「個人情
報保護法」を前提とする障壁がある。（例えば、本人同意、自己情報コントロール権など）
○ 国民医療情報資源の恩恵を国民全体が享受するためには、医療分野の特
性を十分に踏まえた関係法令の改正や特別法の制定（たとえば国民医療情報資
源利活用特別法（筆者仮称））が望まれる。
４．将来構想（提言） *
（２）関係法令の改正、特別法の制定
ア．IT課題
イ．関係法令課題

48. 47
４．将来構想（提言） *
（３）医療DXによる新しい価値創造（1/5）

49. 48
厚労省 健康・医療・介護情報利活用検討会 医療情報ネットワークの基盤に関するワーキンググループ（2022年11月28日）の資料
４．将来構想（提言） *
（３）医療DXによる新しい価値創造（2/5）

50. 49
４．将来構想（提言） *
（３）医療DXによる新しい価値創造（3/5）
■ 厚生労働省は、2023年度の薬価（公定価格）改定について、48%の品目で
価格を引き下げ、医療費を3100億円程度削減する方向で最終調整に入っ
た。医薬品の供給不安を抱える業界に対する特例を設けた結果、削減幅
は前回から3割弱減る。改定を通じて社会保障費の伸びを抑えてきたが、
薬価頼みの構図には限界も見える。
■日本の医薬品市場は、欧米で開発された新薬が、なかなか日本で使えるよ
うにならない「ドラッグラグ（新薬承認の遅延）」の課題を抱える。薬価の引
き下げ圧力が強いためで、近年は日本市場を素通りする「ドラッグロス」も
問題視されている。
「新たな治療機会」、「不要な投薬や副反応を避ける安全性」、「医療費抑制」
の３点をどう実現すべきか？
引用：日経新聞2022/12/16

51. 50
４．将来構想（提言） *
（３）医療DXによる新しい価値創造（4/5）
■医療DXでキーとなる「マイナンバーカード」（マイナ保険証）について
１．紙媒体は、自立型メディアで、それ単体で人は認識できる。
２．デジタル（電子）メディアは、依存型メディアで、それ自体では人は認識できない。
３．紙の健康保険証（自立型メディア）をマイナ保険証（内蔵ICチップ、依存型メディ
ア）のみでは、代替できない。
×健康保険証（紙）⇒マイナ保険証（内蔵ICチップ）
○健康保険証（紙）⇒マイナ保険証（内蔵ICチップ）
＋インターフェイス機器＋セキュアなネットワーク
＋オンライン資格確認等システム（国保・基金）＋同意
４．「マイナンバー」、「マイナンバーカード」、「マイナ保険証」の違いを十分に理解し
ている国民は少ない。
マイナンバー導入当初のボタンの掛け違えによる呪縛？を解き、医療DXを円滑に進
めるためには、政府、自治体、住民の真摯な対話が避けて通れない。

52. 51
セキュアな「医療クラウド」共通基盤整備
×「人工知能（AI）」
×「関係法令の改正＋特別法の制定」
⇒医療 DX
将来の疾病を予想し国民の健康管理や健康寿命の延伸に役立てれば、
① 今後の医療費増大を抑制。
② 工夫次第で投入した公的資金以上の効果をすべての国民が享受。
４．将来構想（提言） *
（３）医療DXによる新しい価値創造（5/5）
医療DX

53. 52
機関誌JAHMC 2022年12月号より抜粋

54. 53
５．【医療DX研究会】研究員公募のご案内
（1）目的、テーマ、成果物
■ 目的
医療 DX に関して、私たち、認定登録 医業経営コンサルタントは、医業経営者の高
度化する要求や期待に応えられるよう、新しい知識や経験を積むとともに、互いに切
磋琢磨する場として、「サイバーセキュリティ演習研究会」を「医療DX研究会」に拡張し、
近畿地区の個人会員及び法人正会員、賛助会員に提供する。
■ 2023年度研究テーマ 医療DX政策動向の調査研究
■ 成果物 ① 近畿地区会員向けニュースレター「医療DX通信」発行。
② 医療DX政策動向の調査研究結果をベースに、「研究会提言」公表。
③ 医業経営コンサルタント学会京都大会（一般演題発表、研究会議）
④ 調査研究事業結果報告（年度末）

55. 54
５．【医療DX研究会】研究員公募のご案内
（2）体 制
（３）体制と役割
外部有識者
近畿地区協議会
事務局
研 究 員
主任研究員
月次研究会（1 回／月）
主幹研究員
医療 DX 研究会
期間：2023 年 5 月～2024 年 3 月
毎月第 2 土曜 10：00～12：00
Zoom ミーティング
15名程度

56. 55
５．【医療DX研究会】研究員公募のご案内
（3）外部有識者（予定*）
＊ 依頼書を送付し所属組織の内部稟議依頼。

57. 56
５．【医療DX研究会】研究員公募のご案内
（4）2023年スケジュール

58. 57
５．【医療DX研究会】研究員公募のご案内
（5）募集要項（1/2） https://hbs.one.ne.jp/one-form/jahmc-kinki.html

59. 58
５．【医療DX研究会】研究員公募のご案内
（5）募集要項（2/2） https://hbs.one.ne.jp/one-form/jahmc-kinki.html

60. 59
最後に、長期間、新型コロナウイルスに懸命に立ち向かい、地域の医療、
介護、福祉を支えていただいているすべての医療、介護、福祉機関および従
事者の方々に敬意を表するとともに感謝申し上げたい。