市立奈良病院で電子カルテ等に障害が発生し、診療制限や手書き運用が必要になったと報じられました。原因はサイバー攻撃の可能性も示され、医療の「止められない業務」がデジタル依存と表裏一体である点が浮き彫りです。電子カルテは記録だけでなく、検査・投薬・会計・病棟運用まで連動する中枢であり、停止は安全面を含む機能低下を段階的に引き起こします。
情シス・セキュリティ担当者は、単なる復旧時間だけでなく「どの診療機能が、どの順序で影響を受けるか」を平時に棚卸しすべきです。依存関係(部門システム、認証基盤、端末、医療機器ネットワーク)を可視化し、代替手段と優先順位を決めておくことが初動の迷いを減らします。
紙に戻せば継続できると思われがちですが、実務では照合、禁忌確認、オーダー伝達、結果集約、会計などが人手依存となり、ミスと遅延が増えます。さらに復旧後の再入力が膨大となり、復旧作業そのものを圧迫します。手書き運用は最後の手段でも、長期代替にはなりにくいのが現実です。
BCPは「紙手順」だけでなく、優先診療(救急・透析・分娩・手術等)の定義と、最小限のデジタル機能を残す設計が鍵です。例えば参照専用環境、限定端末、別系統ネットワークなどで「閲覧だけでも可能」な状態を確保できるかで、医療安全の水準は大きく変わります。復旧後のデータ整合(紙→電子取り込み、監査)まで手順化して初めて実装可能な計画になります。
攻撃疑いの局面では、診療継続を確保しつつ被害拡大を止め、復旧判断に必要な情報を失わないことが重要です。安易な再起動や復元は、ランサムウェア等では痕跡を消し、原因究明と再発防止を難しくします。まず影響範囲の切り分け(端末・サーバ・ネットワークのどこまでか)と、通信遮断・セグメント隔離を優先します。
同時に、アカウント・権限の緊急見直し、バックアップの健全性確認、ログやメモリ、ディスク等の証拠保全を進めます。外部専門家や関係機関と連携し、判断の根拠を残すことが、復旧速度だけでなく漏えい有無の説明責任にも直結します。休日夜間の連絡系統と意思決定の権限委譲まで含め、初動を遅らせない体制が必要です。
侵入を完全に防ぐのは困難なため、侵入後の横展開を止める設計が要です。電子カルテ系、部門系、医療機器系、事務系、来訪者Wi-Fiを分離し、必要最小限の通信のみ許可する方針へ段階的に移行します。加えて特権IDの棚卸し、共有アカウント廃止、管理者操作の記録、重要システムへの多要素認証で、致命的な権限奪取リスクを下げられます。
バックアップは「ある」だけではなく「消されない・戻せる」ことが条件です。オフライン/イミュータブル、別権限、別ネットワークなどで隔離し、復元訓練でRTO/RPOを現実の数値として把握します。監視はEDRやログ集中管理、外部SOC活用で補完し、検知から封じ込めまでの時間を短縮します。医療DXの前提として、セキュリティ投資を経営・医療安全の課題として継続することが求められます。
