Day1｜医療・介護の現場はなぜ狙われるのか—BCP担当が今すぐ変える視点

はじめに

医療・介護の要諦は「止めないこと」です。
電子カルテや介護記録が止まれば、診療・投薬・処置・送迎・夜勤の判断全てが遅れます。
サイバー被害は“ITの問題”ではなく、患者・利用者の安全と事業継続の問題です。
BCP担当がまず持つべき視点は、被害ゼロ前提ではなく、踏まれても最小で回復する前提です。

なぜ医療・介護が狙われるのか

攻撃者は「支払意欲」「停止コスト」「データ価値」で標的を選びます。
救急・入院・在宅・通所など止めにくい業務、保険請求・調剤・検体搬送の締切依存、診療情報・介護記録・顔写真等の高機微データ。
これらは医療・介護特有の弱点であり魅力でもあります。
しかもクラウドやベンダ連携が増え、境界はネットワークではなくIDと権限へ移りました。

よくある被害の流れ

例：職員のメールが侵害→請求書差替えで医療材料の代金が詐取／電子カルテの管理端末からランサム侵入→ダウンタイム手順が未整備で受診遅延／送迎表を保存したクラウドの公開リンクが放置→利用者氏名・住所が外部流出。
どれも高価な防御より、設定と運用の不足が原因です。

BCP担当が押さえる5原則

1 IDと権限が境界：メール・主要SaaS・管理コンソールはMFA必須、管理者は最小・日常は一般権限。
2 復旧で勝つ：バックアップは分離保管、四半期ごとにリストア演習。
紙のダウンタイム様式も用意。
3 可視化：監査ログを90日以上保持、見るイベント（転送ルール作成・多拠点ログイン等）を定義。
4 最小共有：診療/介護情報は原則「施設内共有」が既定。
公開リンクは禁止、外部共有は期限・相手先限定。
5 訓練：15分の教育＋ダウンタイム訓練を月次で。
ミスを責めず学びを共有。

今日からの3アクション

A MFAの一斉適用：メール／電子カルテの管理画面／主要SaaS／VPN。
未設定者リストを毎日共有。
B 退職者・派遣のアカウント一掃：即時無効化・二要素解除・連携アプリ停止・権限回収。
C 重要システムの所在リスト：電子カルテ、レセ電、PACS、調剤、勤怠、介護ソフト等の重要5を1行で棚卸。