徳島県西部にあるつるぎ町立半田病院といえば、2021年にランサムウェア攻撃を受けた病院として記憶している方も多いだろう。旧美馬郡地域で唯一の公立病院であるこの病院は、攻撃を受けたことで約2か月間、電子カルテシステムが使えなくなり、通常の医療ができなくなった。患者の生命に関わるこの事態に、同院はどのように対応したのか。

6月26日~27日に開催された「TECH+セミナー セキュリティ 2025 Jun. 今を守り、未来を築く」につるぎ町立半田病院 病院事業管理者の須藤泰史氏が登壇。危機的状況への対応やそこから得られた教訓について語った。

ランサムウェア攻撃への初期対応

須藤氏はまず、半田病院がランサムウェア攻撃を受けた当初の様子から説明した。10月31日の深夜0時30分頃、全てのプリンターが勝手に印刷を始めた。そこには「システム内のデータを暗号化した、身代金を支払わなければダークウェブに公開する」という脅迫が英文で記されていた。電子カルテの表示も同じ犯行声明文に変えられていた。午前3時頃に到着したシステム担当者が対応を開始したところ、「LockBit 2.0」というランサムウェアにより全システムが使用不可能になっていることが判明。午前8時頃に徳島県警のサイバー犯罪対策室に連絡し、須藤氏をはじめとする上層部にも情報が伝えられた。

  • 病院内のプリンターから出力された犯行声明

「全く何もできないと聞いて、災害対応のために策定しておいたBCPにしたがって対応すべきだと思いました。そこで各部署の代表者を集めて対策本部を立ち上げたのです」(須藤氏)

各部署の被害状況を確認したところ、電子カルテが完全に使えないことが分かり、診療を紙カルテベースで行うことを決めた。通常の医療ができないことを医師会や他の病院、消防、徳島県、つるぎ町などに連絡するとともに、地域住民に伝えるための記者会見も実施した。

対策本部では院内にある約200台の電子カルテ端末全てを集め、ウイルス対策ソフトで1台ずつ対処することにした。また、本部には情報を時系列で整理するクロノロジーのほか、連絡先の一覧や組織図、ToDoリストなどさまざまなものを掲示した。電子カルテがどの医療機器とつながっているかを明確にするため、各部門のシステム状況を記したリストもつくった。システムのどこまでがウイルス感染しているかが分からない状況だったため、各部署が関係する機器のベンダーと連携して対応に当たったという。

莫大な費用を投じた復旧作業

病院としてもっとも重要なのは入院患者を守ることだが、電子カルテが使えないと前日の体温や食事内容すら分からない。そこで入院診療計画書や以前の入院カルテなどをかき集め、入院カルテを作成し直した。外来では検査機器が使えず急患の対応ができないため、予約の再診患者のみを診察することにした。

半田病院では以前の計画停電を契機に、紙カルテで入院患者対応や検査オーダーを行う訓練を実施していたが、それでも電子カルテが使えないと、さまざまな問題が起きる。そこで重視したのがコミュニケーションと情報共有だ。何か問題が判明するたびにミーティングで解決方法を話し合った。また、すでに使用していなかった古いPCやプリンターも活用した。そのほか、つるぎ町役場のPC、地元業者から提供してもらったPCなども駆使し、定型文書の作成などに当たった。

「サイバー攻撃を受けた時には大量の文具やPC、コピー機能付きプリンターが必要になります。そのため、最新でなくてもよいので行政単位で備蓄しておき、その地域の企業や病院が被害を受けたときに支援する準備が必要です」(須藤氏)

こうして紙カルテでの診療を実施したわけだが、カルテには過去のことは何も書かれていない。顔なじみの患者に対しても、初診や手術の時期を聞き取り、手術記録の伝票を探し出す必要があった。また、患者が持参した記録をコピーしてカルテに貼り付けて診療したり、門前薬局から処方の情報をもらったり、検査の手書きのオーダー票を参照したりしていたが、手書きの文字は読みにくく誤字もある。そのため、スムーズな診療は難しかったと同氏は振り返った。

「PCが使えればすぐに印刷でき、もっとスムーズな診療ができたはずです。そういったバックアップのシステムをつくっておくべきでした」(須藤氏)

その後、小児科、産科、放射線科という順で徐々に診療を再開したが、急場しのぎの紙カルテベースの作業は労力も膨大になる。外来では机を並べてどの科への受診かを聞き、膨大な紙の山の中からカルテを探し出し、手作業で書き込む。不慣れなため記入方法が分からないこともあるし、誰かが持ち出していれば内容の確認もできない。レセプト(診療報酬明細書)がつくれないため診療報酬の請求はできず、10月分の請求ができたのは年が明けてからだったという。

システムの復旧については、ベンダーからサーバを借り受け、新たな電子カルテのシステムを再構築することにしていた。しかし感染したシステムのバックアップサーバのデータが復旧でき、電子カルテから抽出してあった患者名簿や院内採用薬剤集などのデータも利用できたことから、これらを旧システムに戻し、新たな強化策も追加して構築し直している。こうして2022年1月4日、全科での通常診療の再開にこぎつけた。復旧するまでには2億数千万円を要した。

得られた教訓と改善ポイント

犯人からの具体的な要求の連絡はそれ以降なく、侵入のルートは現在も捜査中だ。ただ、VPN機器に最新のパッチが適用されていなかったことが分かっており、おそらくここから侵入されたのだろうと推測されている。

須藤氏は「セキュリティに関する情報を把握しておくべきだった」と悔やむ。攻撃を受ける数か月前には、厚生労働省から各都道府県の衛生主管部に向けてランサムウェア攻撃についての注意喚起が出されていたのだが、これを把握していなかった。また、VPN機器の脆弱性に関して数多くの報道があったにもかかわらず、ベンダーからは何も伝えられていなかった。

「厚労省の注意喚起を把握して記載されていることを全てやり、ベンダーから情報を得ていれば、被害を受けなかったかもしれないのです」(須藤氏)

さらに、動作が極端に重くなることを避けるため、電子カルテの端末にはアンチウイルスソフトを導入していなかった。これも被害につながった1つの理由と考えた同院は現在、VPN機器に最新のパッチを適用するようにしたうえで全端末にアンチウイルスソフトを入れ、ワンタイムパスワードも導入している。

反省に基づいて行っている改善はまだある。現在、200床以上の医療機関はIT-BCPを策定する必要があるが、半田病院ではそのためのセキュリティ規程がなかった。そこで、インシデント発生時の体制や記者会見の想定問答といったものが書かれた企業用のIT-BCPを流用。社長を病院長に置き換え、厚労省のガイドラインにしたがってつくり替えたものを使うことにした。

電子カルテのシステムからデータをUSBメモリやCDにCSVファイルとして抽出できるようにする、簡易的なバックアップシステムも構築した。一般的なバックアップでは、データがあっても他のシステムで見ることはできないが、これならば特別なソフトなどが入っていないPCでも見ることができ、紙のカルテと組み合わせることで診療を続けられる。

最後に同氏は、アメリカの医療ISACのあるメンバーの言葉を紹介した。それは、「ランサムウェアとの戦いは勝つことはできないが降りることもできない。侵入されることを前提に、バックアップデータをいかに守るか、そして感染した際にいかに事業継続するかというBCPを備えておくべきである」というものだ。

「我々は日々、この言葉を胸に業務に当たっています」(須藤氏)