制度創設の背景

1. 病院を狙うサイバー攻撃の深刻化

• 医療機関を標的としたランサムウェア攻撃やシステム停止事件が国内外で多発。
• 例：国内病院で電子カルテや検査システムが数日間停止 → 救急・手術を中止せざるを得ない状況に。
• 患者の命や診療の継続に直結するため、医療分野は国家的リスク対象に。

2. 医療IT化の進展によるリスクの拡大

• 電子カルテ、PACS、地域連携システム、遠隔診療などが普及。
• 一方で、古いシステムや限定的なIT人材によってセキュリティ対応が後手に回る傾向。

3. 国家規模の攻撃リスクの現実化

• 背景には、国家・組織ぐるみのサイバー攻撃（例：中国・北朝鮮・ロシアなど）への警戒感。
• 日本も含め、民主主義国のインフラ（病院・電力・交通など）が狙われている。

4. 現行法制の限界

• 憲法21条「通信の秘密」や電気通信事業法により、通信内容の監視が難しい現状。
• 政府がリアルタイムで攻撃兆候を察知・介入できるよう、法改正が必要と判断。

医療機関は「命を守る社会インフラ」として攻撃対象に

電子カルテなどのIT化でサイバー脅威にさらされやすい

ランサムウェアや国家的攻撃への早期対応が急務

現行法では限界 → 新たな制度による対応が検討中

能動的サイバー防御とは？

「能動的サイバー防御」とは、簡単に言えば“攻撃される前に攻撃者を察知して動く”防御手法です。

これまでのようにファイアウォールやウイルス対策ソフトだけで“防御する側が待ち構える”のではなく、政府の専門機関が通信内容を監視・分析し、
怪しい通信を発見した場合には、発信元を突き止めたり、通信自体を遮断するといった、より積極的な対応を取るという考え方です。

もちろんこれは「何でも監視する」というものではありません。対象はサイバー攻撃の兆候がある通信に限られ、しかも法律の整備と監督のもとで実施される予定です。

医療機関としては、感染や攻撃の“被害者”になる前に、政府と連携して情報共有やログ提出などに協力することが求められる可能性があります。

医療機関への影響

この制度が導入されると、医療機関にも一定の「協力義務」や「責任」が生じることが想定されます。

例えば、政府が攻撃兆候を検知した際に、「院内システムの通信ログを提供してください」「該当ネットワークの遮断を実施してください」といった要請が届く可能性があります。

また、サイバー攻撃を受けた際には、迅速な通報や初動対応が求められ、対応が遅れると被害拡大だけでなく報道・行政対応にも影響が出ることになります。

特に医療機関では、診療システムが止まると命に関わるため、IT部門や外部業者との連携体制をあらかじめ整えておく必要があります。

---

海外制度との比較

海外の主要国では、医療機関を重要な国家インフラの一部と位置付け、サイバー防御の体制を法律や制度で強化しています。

米国では「CISA（Cybersecurity and Infrastructure Security Agency）」が中心となり、医療分野の防御に特化したプログラムも進んでいます。

英国ではNCSCがNHSと密接に連携し、定期的な訓練や演習で防御力の向上を図っています。

ドイツは司法の監督下にあり、医療機関が防御活動に協力することが法的義務になっています。

日本はまだ整備段階ですが、これら諸外国の制度を参考にしつつ、重要インフラとしての医療機関の防御強化を図っています。

医療機関が準備すべきこと

法制度に対応するために、まずは医療機関内部でセキュリティ責任者の設置が不可欠です。
また、政府からログ提供を求められた際にすぐに対応できるよう、通信記録の保管や管理体制の確認も重要です。

さらに、サイバー攻撃が発生した時に素早く対応するために、CSIRTチームの整備と役割分担を決めておくことが求められます。
どの部署が政府機関に通報し、どのような情報を伝えるのか、通報ルールの事前整備も欠かせません。

ITベンダーとの連携や契約内容の見直しも忘れてはなりません。緊急時に迅速にシステムを止めたり復旧したりするために、委託先と緊密な協力体制が必要です。

最後に、職員全体のセキュリティ意識向上のための訓練や教育を定期的に行うことが、被害を最小限に抑えるポイントです。

緊急時の対応

サイバー攻撃を受けた際の対応は、迅速かつ的確であることが重要です。

まずは異常を察知した時点で初動対応を開始し、感染端末の隔離などで被害の拡大を防ぎます。

その後、政府の専門機関に速やかに通報し、指示を受けながら対応を進めます。

この制度のポイントは、病院が単独で対応するのではなく、政府と連携して対応を進めることにあります。

最後にシステムを復旧させ、発生原因を調査し、今後の対策に生かしていくことが求められます。

まとめ

医療現場はサイバー攻撃の標的になりやすく、被害が患者の生命に直結するため、国としても強力な防御体制を整備しようとしています。

これに伴い、医療機関は単なる「被害者」ではなく、「協力者」としての役割が求められます。

そのためにも、院内の体制を今から整備し、スタッフの理解を深めることが重要です。

法律の成立後は、政府との連携が日常的になる可能性があるため、今日お伝えした準備事項を踏まえ、組織全体で対応を進めていきましょう。