検索
連載

病院のセキュリティ対策を阻む残酷な「カネ」の問題 業界構造から真因を探る医療×セキュリティの未来を考える

医療業界におけるランサムウェア被害が度々世間を騒がせている。調査報告書では基本的な対策ができていないケースが目立つが、この背景にあるものは何か。本連載は業界構造を深堀し、「カネ」「ヒト」などの観点からその真因を探る。

Share
Tweet
LINE
Hatena

 徳島県のつるぎ町立半田病院や大阪府の大阪急性期・総合医療センター、岡山県の岡山県精神科医療センターなど医療機関におけるランサムウェア被害事例が昨今話題となっている。特に医療機関は診療停止に陥った際のインパクトが大きいことから、日本だけでなく海外でもランサムウェアの標的になりやすい傾向がある。

 こうした現状がありつつも、医療業界におけるセキュリティ対策はなかなか進んでいないのが実情だ。先の被害病院が公開した調査報告書を読むと、ごくごく基本的なセキュリティ対策を怠ったがためにランサムウェア被害を招いてしまったケースも多い。では、なぜ医療業界のセキュリティ対策は遅れてしまっているのか。

 本連載は医療サイバーセキュリティ協議会の若村友行氏(理事/フォーティネットジャパン)とともに、医療業界のセキュリティ発展に向けて、対策が進まない真因を業界構造から考察する。第1回となる今回は「カネ」の問題にフォーカスしよう。

病院のセキュリティ対策を阻む残酷な「カネ」の問題

――まずはあらためて国内医療機関を狙ったサイバー攻撃の被害状況を振り返っていきましょう。


医療サイバーセキュリティ協議会の若村友行氏(理事)(筆者撮影)

若村氏: 診療が止まってしまった大規模なランサムウェア被害事例としては、徳島県のつるぎ町立半田病院、大阪府立急性期・総合医療センター、これらに加えて直近で起きた岡山県精神科医療センター岡山県精神科医療センターの3つが挙がるかと思います。ただしこれらだけではなく、報告されているだけでも15の病院がサイバー攻撃の被害に遭っています。

 サイバー攻撃者は特定の企業や業界を狙うというより、脆弱(ぜいじゃく)な組織を狙うというのはよく言われていることです。ただ私としては、個人情報も多く持っており、診療停止した際のインパクトも大きい医療機関を積極的に狙うというのは理にかなっていると感じます。

 被害に遭った病院には類似点があります。報告書を読む限り、管理者パスワードの使い回しや、サーバ・端末ユーザーへの管理者権限の過剰な付与、VPN装置の脆弱性放置などが原因で攻撃者の侵入を許しています。

――基本的な対策ができていなかったということですね。

若村氏: 「基本的な対策ができていない」というのは簡単ですが、この問題をさらに深堀りすると、病院やシステム運用に携わるベンダー双方のセキュリティ意識や責任感の欠如という真因にたどり着きます。事前に決めた契約において「どこまでをお願いしてどこから自分たちが守るのか」といった責任分界点が曖昧(あいまい)になった結果、基本的な対策を誰が担当するかの役割分担ができていなかったのだと思います。病院内には複数のベンダーが出入りするのでベンダー間においても役割分担が発生します。それが事態を複雑にしています。

製品ライセンスや医薬品の高騰が病院経営を追い詰めている

――一般的に企業のセキュリティ対策の障壁としては予算を確保できないというのが大きな理由としてあります。医療機関でもこれは同様でしょうか。

若村氏: 医療機関がセキュリティ対策を進められない理由はさまざまな要因があります。その中でもお金の問題は根が深いと思います……。お金に関連したものだと主に2つの要因があると考えています。一つはIT・セキュリティ製品などの調達コストが大幅にアップしている問題。もう一つはIT・セキュリティの予算確保が困難という問題です。

 前提として、慢性期のような医療行為が少ない一部の病院を除いて、今やほとんどの病院は赤字経営です。国立大学病院長会議の2025年5月の記者会見によると、病院全体でみると2024年の収支見込はマイナス213億円でした。


2024年の収支見込(出典:2025年5月に開催された国立大学病院長会議の記者会見)

 そして調達コストの問題についてです。国立大学病院長会議の2025年3月の記者会見によると、2025年には「Microsoft Office 365」のライセンス費用が値上がりし、約7ドルから約10ドルになって、10年単位でみると43%上昇しています。また、Oracleのライセンスは年率4%の値上がりし、5年で約2割上がりました。円安の影響もあり外資系ベンダーの製品ライセンスの値上がりは大きな打撃です。ただ、Microsoft Office 365などは電子カルテシステムにおいてなくてはならない要素なので利用を継続するしかありません。

 この他、医薬品や材料費を含めた医療費や光熱費、人件費、老朽化した施設の修繕費などが高騰した影響で病院の支出はますます増加しています。

――これは非常に厳しいですね。もう一つのIT・セキュリティの予算確保が困難という問題についてはいかがでしょうか。

若村氏: 例えば金融業界であれば、自社のビジネスできちんと利益を出し、その利益からセキュリティ対策予算を捻出しやすいですよね。一方で、日本の医療業界は公的保険適用の診療が原則であり、米国のように自由診療によって収益を拡大しにくい構造になっています。

 診療報酬の中には、医療情報システムの整備に対する加算などもありますが、IT機器の導入やセキュリティ対策に十分な予算を確保するのは難しい場合もあります。そのため、他業界と比べて医療機関ではセキュリティ対策を強化しにくいという実情があります。つまり、まずは利益を生めるものに対して投資が優先される傾向にあり、セキュリティが二の次になっているわけです。

――セキュリティ対策ができないのには病院が適切に利益を得られていない実情があるということですね。

若村氏: 病院経営が厳しい状態にあることは先ほどお話しましたが、付け加えると、これに関連する病院独特の問題として控除対象外消費税があります。保険医療では“消費税は非課税”とされ、医療にかかる消費税は患者ではなく、医療機関が最終負担しており、これを控除対象外消費税といいます。

 この消費税負担を補填(ほてん)するために診療報酬改定(消費税対応改定)(※)という制度があるのですが、先ほどお伝えした通り、医薬品の高騰や円安などによって医療機関の負担する消費税額も上昇しています。これによって、仮に診療報酬改定時点で診療報酬による消費税補填が十分だったとしても、その後に物価が高騰すれば消費税負担も上昇するため、結局十分な補填にはならないわけです。

(※)消費税率が引き上げられた際に、医療機関の消費税負担を補填するために、診療報酬を改定する措置。基本診療料を中心に点数を上乗せするなど、医療機関の仕入れに関連した消費税負担を軽減する。

若村氏: 2025年4月には、日本病院団体協議会が厚生労働大臣向けに「令和7年度(2026年度)診療報酬改定に係る要望書【第1報】」を提出しました。この要望書を端的にまとめると「一般企業は物価や賃上げコスト増を商品やサービス提供価格に転嫁できるが、医療機関はコスト増を診療報酬に上乗せできず厳しい経営状態にある。そのためある程度余裕を持たせた診療報酬改定を望む」というものです。ただ、なかなか要望通りには反映されていません。

――これまで病院の非常に厳しい実態をお聞きしてきました。病院がセキュリティ対策に乗り出すにはどうすればいいのでしょうか。

若村氏: これは医療業界以外にも共通しますが、セキュリティ対策はお金をかけなければいけないと思われがちです。しかし管理者パスワードの使い回しを止めるとか、VPN装置の脆弱性を放置しない、バックアップを取得するなど、お金をかけなくてもできることは多くあります。そういう意味で「セキュリティをジブンゴト化」する意識をまずは持つことが大事でしょう。

 厚生労働省の医療機関におけるサイバーセキュリティ確保事業を活用するのもお勧めです。病院に専門家を派遣してセキュリティ状態を可視化してレポート化してもらえるため、現状認識に役立ててほしいと思います。

――ありがとうございました。

 第2回では「ヒト」の問題にフォーカスし、業界構造をさらにひもといていこう。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る