医療機関へのサイバー攻撃、54%がリスク認識も未対応
#日経メディカル #情報通信・ネット #健康・医療
2025/6/29 2:00 [会員限定記事]

医療DX（デジタルトランスフォーメーション）の推進などに取り組む医療トレーサビリティ推進協議会（医ト協）は2025年5月、医療機関を対象に実施したサイバーセキュリティーおよび事業継続計画（BCP）に関するアンケート結果を公表した。サイバー攻撃への対応状況について、54%がリスクを認識しつつも「これから検討する」と回答し、対応への遅れが浮き彫りになった。

同アンケートは、全日本病院協会、日本病院会、全国自治体病院協議会の協力の下、3団体の加盟病院を対象にインターネットにて実施（調査期間:2024年12月6日〜2025年3月4日）。「院長、事務局」向けと「情報部門」向けの2部構成となっており、前者の回答数は246施設、後者は297施設で、合計543施設が回答した。回答者の病床規模は、500床以上が87施設、200〜500床未満が195施設、20〜200床未満が258施設、19床以下（診療所）が3施設だった。

「院長、事務局」向けの調査で、サイバー攻撃のリスクの受け止め方や対応状況を尋ねたところ、54%の施設が脅威だと認識してはいるものの、対策の検討は「これから」と回答し、準備が進んでいない実情が明らかになった。その原因の一つとして挙げられているのが、サイバーセキュリティー対策費用確保の困難さだ。

（出典:医療トレーサビリティ推進協議会「全国医療施設向け病院セキュリティ/BCPアンケート調査報告書 概要版」）
実際、22%が予算を確保できておらず、検討している施設が48%で、確保済みは30%にとどまった。予算を確保できている、あるいは検討中の191施設を対象に年間の予算額を聞くと、「100万〜500万円」が72施設と最多で、「100万円以下」（54施設）、「1000万円以上」（36施設）、「500万〜1000万円」（29施設）と続いた。調査報告書では、予算化できていても「一般企業よりかなり低い状況」と指摘されている。

IT（情報技術）人材の確保にも課題があるようだ。院内情報管理スキルを持つ人材を「確保・育成している」は67%で、3分の1は「現時点では考えていない」と答えた。確保・育成方法に関しては「中途採用」が86施設、「院内での育成」が58施設、「外部委託」が22施設だった（院内情報管理スキルを持つ人材を確保・育成している166施設が対象）。

「情報部門」向けの調査では、ファイアウオールや侵入検知システムといった防御対策がほとんど整備されていない医療機関が1割に上ることが分かった。また、整備されていても、「基本的な対策はあるが、更新頻度が低い」が53%と半数を超え、「リアルタイム通知があり、定期的に更新」は37%だった。

サイバーセキュリティー対策の不備で行政指導も

医ト協事務局長の新井洋司氏は、今回のアンケート結果に対して、「『何から手を付けてよいか分からない』という声が想像以上に多く、特に中小病院でサイバーセキュリティーやBCPへの対応が遅れていることが分かった」とコメント。セキュリティー対策の不備により行政指導の対象となるケースも増えており、同氏は「診療停止や医療情報の漏洩といった直接的な被害に加え、患者や地域から信頼を失い、長期的には経営存続にも影響が及びかねない」と指摘した。