なぜあの病院は守れなかったのか ― 徳島半田病院の事件を院長視点で読み解く

2021年の秋、徳島県の小さな町で、町立病院がランサムウェアに襲われました。電子カルテはすべて暗号化され、新規の外来診療は約2ヶ月止まりました。患者数にして約8万5千人分のカルテが人質に取られた事件です。

この事件をニュースで読んだとき、最初に思ったのは「これは特殊な不幸ではない」ということでした。日本中のクリニック・地方病院に、まったく同じ構造の急所があります。

事件の経緯

侵入経路は、リモート接続用のVPN機器（外部から院内ネットワークにつなぐための装置）に残っていた既知の脆弱性でした。3年も前に公開されていた穴で、修正パッチも当時から提供されていました。攻撃者はそこから侵入し、院内ネットワークを調べ、最終的にサーバ群を一斉に暗号化しました。復旧費用は数億円規模、診療再開まで2ヶ月以上を要したと報じられています。

この事件の本質的な問題

気になったのは「パッチが3年放置されていた」という事実そのものよりも、パッチを当てる責任が誰にも無かったという構造の方でした。

このVPN機器は、おそらく地元のITベンダーが納入し、設定し、その後は「何かあったら呼んで」の関係で運用されていたはずです。院内には専任のシステム担当者はいません。院長はおそらく、電子カルテベンダーとVPNベンダーが別会社であることすら把握していませんでした。

攻撃者は、こうした「責任の境界線がぼやけたまま動いている機器」を狙います。クリニックや地方病院はIT担当者がいないので、ベンダー任せが常態化します。そしてベンダーは、契約に明記されていない作業はやりません。当たり前のように放置される穴は、契約書の隙間にできます。

病院が把握している範囲

病院・院長

契約 A

電子カルテ
ベンダー

契約 B

VPN ベンダー

↓

契約書に記載なし

パッチ管理の担当者が存在しない

これは徳島の事件の特殊事情ではなく、全国どこの中小医療機関にもある構造です。

クリニックに置き換えてみる

4つ、確認してみてください。

• 電子カルテベンダーが最後にパッチを当てたのはいつか、答えられるでしょうか
• 受付の業務PCは、電子カルテと同じネットワークで普通のインターネットにもつながっていないでしょうか
• バックアップは取られているとして、それは攻撃者が触れないオフラインに置かれているでしょうか
• もしランサムウェアに感染して院内のサーバが止まったら、最初に電話するベンダーは誰で、その人は何時間で来てくれるでしょうか

この4つにすぐ答えられないなら、徳島の半田病院と同じ構造の上に乗っています。

クリニックに限らず中小医療機関に共通する難しさは、何を確認すればいいかが分からないという状況に置かれやすいことにあります。専門知識の有無よりも、この構造的な問題の方がリスクを大きくします。

院長が今日できる3つのこと

完璧を目指す必要はありません。今日5分でできることを3つだけ挙げます。

1. 電子カルテベンダーに「最後にパッチを当てたのはいつですか」と聞く。即答できないなら、それ自体が一つの答えです。
2. バックアップが本当に復元できるか、年に1回だけ試す。「取っているはず」と「戻せる」は別物です。
3. メール添付ファイルの扱いについて、職員全員のルールを1行決める。「身内以外からのZIPは開かず管理者に転送」だけで十分です。

締め

セキュリティに完璧はありません。だが、ベンダー丸投げから一歩だけ前に出るだけで、攻撃者にとっての魅力は明らかに下がります。徳島の半田病院がやられたのは、運が悪かったからではなく、その一歩が踏み出されていなかったからです。

同じ一歩は、明日からあなたのクリニックでも踏み出せます。