大きく報道されたのでご存知の方もいらっしゃると思いますが、2025年9月29日、アサヒグループホールディングスがサイバー攻撃被害を受け、大きな被害が発生しました。(ニュース記事はこちら)。
大規模なシステム障害が発生し、グループ内各社の酒類、飲料、食品の受注や出荷が停止するトラブルが発生しています。発生から10月1日現在でもまだ復旧の目処が立たない状況と報じられています。
今回は、サイバーセキュリティの外部専門家の協力の下、このアサヒの事例を基に、注意喚起の目的で特集を緊急配信させて頂きます。万が一でも被害に遭ってからでは取返しのつかないことになりかねないからです。
これにより飲食店、量販店、小売各社も連鎖的に大きな影響を受けるところが出てくることは明らかです。社会は「サプライチェーン(供給連鎖)」で成り立っており、幾つもの会社が連携して商品やサービスが私たちのところまで供給されますが、数多くの当事者の緻密な連携により成り立っています。そのため、どこかでトラブルが発生すると、ドミノ倒しのように大勢の人や企業に影響をもたらします。
これを、決して「対岸の火事」、「大企業の宿命」と思ってはいけません。
実はこうしたサイバー攻撃は、介護・福祉・医療業界も標的にしています。そして、被害に遭った場合は、私たちが想像している以上に悲惨な末路が待ち受けているのです。
目次
本当にあった悲惨な事例
介護・福祉・医療業界がサイバー攻撃被害の事例として是非とも知っておくべきサイバー攻撃被害事例があります。それは、徳島県つるぎ町にある「つるぎ町立半田病院」の事例です。すでにネット上では報告書が公開されていますので、こちらをご覧いただければより詳細に分かります。
半田病院では、病院内のシステムが「ランサムウェア(身代金ウィルス)」というサイバー攻撃を受け、院内のシステムが停止しました。これにより電子カルテなどの情報が全て暗号化され使用できなくなり、当日受診予定の患者の診察、救急患者の受け入れも出来なくなりました。つまり、病院としての機能が失われてしまったのです。
病院全体のシステムで被害が発生したため、すぐの復旧は難しく、今いる患者を守ることはもちろん、警察への通報、被害状況の調査、被害拡大を防ぐための対応など様々な対応が求められる状態となりました。
つるぎ町立半田病院では、病院内のシステムがランサムウェア(身代金要求型コンピューターウイルス)というサイバー攻撃を受け、主要な院内システムが停止しました。これにより電子カルテなどの情報が暗号化され使用できなくなり、当日受診予定の患者の診察、救急患者の受け入れが極めて困難となりました。つまり、病院としての機能が麻痺してしまったのです。
病院全体のシステムで被害が発生したため、すぐの復旧は難しく、今いる患者を守ることはもちろん、警察への通報、被害状況の調査、被害拡大を防ぐための対応など様々な対応が同時に求められる状態となりました。
まず、ランサムウェアによって電子カルテシステムが停止し、閲覧不能になりました。これにより医師をはじめ医療関係者は患者データを迅速に閲覧できなくなり、診療、手術、投薬等の医療措置が大きく制限され、患者の生命や健康に対するリスクが高まりました。
例えば、手術予定であった患者は手術ができなくなり、生命に関わる緊急性の高い手術の場合は、他の医療機関への早期転院などを実施せねばなりませんでした。また、診察予定だった患者に対しても診療ができない旨を伝え、他の医療機関を案内する必要が発生しました。
サイバー攻撃被害発生時は患者からの問い合わせが殺到します。生命に関わる患者を優先的に対応しながら、予約や問い合わせの患者への対応もせねばならず、現場は極度の混乱状態となりました。
さらに、この被害は警察へ通報する重大な事案でしたので、サイバーポリスによる捜査も行われます。証拠保全のため、使用していた端末や感染源の端末などは警察の指示・捜査に沿って、一定期間触れられなくなりました。目の前の患者、これから受診する患者、警察の捜査と、対応しなければならないものが爆発的に増え、どこから手をつければ良いか分からないほどの混乱です。
診療だけでなく、会計業務にも影響が出ました。電子カルテが停止したことにより、診療報酬の請求業務も不可能な状態となったのです。
しかも、半田病院ではデータバックアップを実施していましたが、頼みの綱であったその一部のデータが削除または暗号化されていました。これは、バックアップデータが感染したサーバーと同じネットワークに接続されており、ランサムウェアの攻撃を受けてしまったためと考えられています。本来はバックアップデータがあれば、感染前の状態にデータを復旧させることができます。少なくとも感染前日までの電子カルテ情報や請求情報は復旧できるはずだったのですが、頼みの綱のバックアップデータは無いに等しい状態でした。
最終的な復旧まで約2カ月を要し、その間は地域の病院としての役目を十分に果たせないままだったそうです。
被害が発生した原因は、院内で使用していたVPN(仮想プライベートネットワーク / Virtual Private Network)という通信機器の脆弱性(攻撃を仕掛けられるとシステム内に侵入されてしまう弱点)を突いての攻撃でした。このVPNという機器は、さまざまな中小企業、介護・福祉施設、医療機関でも使用している一般的な機器です。
この半田病院のサイバー攻撃事件を皮切りに、それ以降、全国各地で次々と同種の事件が発生し、病院機能が失われました。有名な被害事例としては、奈良県にある「宇陀市立病院」「岡山県精神科医療センター」があります。
これらは医療機関で発生した被害事例でしたが、同じことが介護・福祉業界で発生した場合、医療機関と同じように広範囲に影響を及ぼす事態となるでしょう。
医療機関も介護・福祉事業所も大勢の人たちの生活、健康、生命を預かっています。業務効率化のために様々なシステム、IT機器を活用していますが、それらが時に弱点となることがあるのです。
介護・福祉・医療業界は格好の標的
「サイバー攻撃は大企業が気をつけるべきことでしょう?」
「私たちみたいな小さな事業所を狙う人なんていないよ」
「大事な情報は無いし、うちには関係無い話じゃないの?」
こんなことを仰る経営者が多いのですが、サイバー攻撃は大企業だけを狙っているわけではありません。サイバー攻撃被害の半分以上は中小企業という調査結果もあります(調査結果はこちら)。
そして、医療業界は狙われやすい業界であるとも言われています(参照元はこちら)。
サイバー攻撃が中小企業を狙う理由は、
①IT分野に長けている人材が組織内に不在であり、対策が不十分であるため
②危機感が薄くて対策が甘く、攻撃成功率が高いため
③機器の中の情報を人質にすれば簡単に身代金を支払ってくれるため
大手企業を狙うハッカーも多数いますが、大手企業は資本力もあり、専門人材もいるため、強固な防衛体制をとっています。ですので、成功率は非常に低くなっていますが、攻撃が成功すれば大きなリターンを得られる「ハイリスク・ハイリターン案件」となります。対して、中小企業は対策が甘いところが多く、大手企業には通用しないような攻撃でも十分被害を発生させられる可能性があります。その分リターンは少ない「ローリスク・ローリターン案件」ですが、数をこなせばお金を稼ぐことができます。これは、ハッカーがどのビジネスモデルを採用するかといった問題となります。
また、日本の場合、中小企業の多くは大手企業の下請け企業が多く、中小企業経由で大手企業への攻撃を狙う事例も増えています。基幹システムを共有している場合、中小企業から大手企業の内部へ侵入することを狙うことがあります。
以上のことから、中小企業だけでなく、介護・福祉・医療業界も厳重な警戒をせねばなりません。
介護・福祉・医療業界は特にサイバー攻撃対策はもちろん、IT分野に長けた人材が少ない業界ですので、大変狙われやすい状況にあります。また、利用者の健康や生命に関わる仕事をしていますし、病歴など漏洩すると大問題となる機密性の高い個人情報も大量に扱っています。サイバー攻撃を仕掛けるハッカーからすると、格好の標的と言っても過言ではありません。
ハッカーは何が狙いなのか
サイバー攻撃を仕掛けるハッカーのほとんどはお金目当てです。昔は相手をただ困らせることが目的の「愉快犯」も存在しましたが、現在は「ビジネスハッカー」がほとんどです。データを暗号化して身代金を要求したり、盗み出した個人情報や機密情報を闇サイトで売買したりしてお金を稼ぎます。つまり、お金を持っている組織、対策が甘くすぐに侵入しやすい組織は積極的に狙われるということです。
サイバー攻撃に遭ったらどうなるのか?
サイバー攻撃に遭った場合は、機器やシステム、ネットワーク内の情報が暗号化されて使えなくなったり、個人情報や機密情報が外部に漏洩したり、闇サイトで売買される被害が発生します。
情報の暗号化とは、パソコンやサーバーなどに保存されているデータが暗号化(データが特定の鍵がないと読み解けない、意味の分からない文字列に変換されること)が行われ、データが使えなくなることです。例えばWordで作成した契約書やマニュアルなどが暗号化された場合、そのデータを開封しても、中身は英数字や記号がランダムに記載された文字列だけが画面に映し出されます。ですので、一切使えないデータに書き換えられてしまうのです。
ランサムウェアというウィルスに感染すると、パソコンやサーバー内のデータは強制的に暗号化されます。
暗号化された場合、ご利用者情報、会計情報などあらゆる情報が使えなくなるため、サービス提供や介護報酬請求業務に大きな影響を与えます。事業の根幹となる情報を失うため、ご利用者に多大な迷惑と混乱をもたらし、介護保険サービスが提供できなくなるかもしれません。そうなると事業停止リスクが高く、最悪の場合には指定取消や倒産の危険性も出てきます。
なお、冒頭でご紹介した半田病院の場合は、復旧まで約2カ月かかりました。つまり、これくらいの事業停止期間を乗り越えられるだけのキャッシュフローを維持できないといけないというわけです。しかし、中小零細が多い介護・福祉業界においては、これに耐えられない事業所は少なくないはずです。
サイバー攻撃被害は「泣きっ面に蜂」の事実
サイバー攻撃に遭った場合、自社の被害以外の、外部が受ける被害も存在することを忘れてはいけません。
漏洩された情報が患者や利用者の個人情報である場合、被害状況を調査し、個人情報保護委員会への報告と被害者へ報告することが法令上義務付けられています。たとえ漏洩した個人情報が1件でも、その対象となることがあります。
どの情報が漏洩したかを特定するには調査が必要ですが、これは専門業者が行うため、調査費用が発生します。ここでいう専門業者とは、サイバー攻撃被害に遭った端末やネットワークを調査する専門会社のことです。被害に遭った端末やネットワークを分析し、どこが感染源となったのか、被害範囲はどこまでなのかを調査してくれます。また、攻撃を受けて使えなくなったパソコンやシステムを入れ替える必要がある場合は、購入費用が発生します。今ある機器やシステムを復旧させる場合でも復旧費用が発生しますが、お金をかけたからといって確実に復旧される保証はありません。
このように自社の被害対応以外での対応も求められるため、相当な労力、時間、コストを強いられることになります。
こんな事業所が狙われる
では、どういう事業所がサイバー攻撃の対象となるのでしょうか。あくまでも参考例として挙げますが、以下の項目に該当する場合は、速やかに対策を講じることをお薦めします。
①Windws7などのサポートが切れたOSを使用している
②システムやアプリケーションの更新通知が出ても無視して怠っている
③同じパスワードをいくつものオンラインサービスで使い回している
④パスワードを他人が見ることができる場所(パソコンやデスクなど)に貼ってある
⑤外出先でフリーWi-Fiに接続した社用パソコンや社用スマホを事業所内のWi-Fiに接続している
⑥データの移動をUSBで行っている
⑦事業所内のパソコンやタブレットの持ち出し管理を行っていない(自由に持ち出せる)
⑧フリーソフトを職員が勝手にインストールしている
⑨ウィルス対策ソフトはパソコンに入っているが使用期限が切れている
⑩職員の個人スマホを事業所内のパソコンと同じWi-Fiに接続できるようにしている
特に上記①②③⑤⑦⑧は注意が必要です。サイバー攻撃のきっかけとなるウィルスを侵入させやすい行動なので、出来るだけ改善するようにした方が良いでしょう。強力なウイルスがまん延している空間で、マスクもせず深呼吸をするようなものです。
パスワードやデバイスの更新は面倒なのでつい…ということもあるかもしれませんが、リスクがあるということは認識しておきましょう。
これだけは!すぐできる対策
サイバー攻撃の予防は、感染症予防と共通する点が多々あります。うがい手洗い、検温、マスクに体温把握…一つ一つは小さくて地味なことですが、毎日積み重ねることで確実にリスクを減らすことができます。大金をかけたり、一回の鮮やかな方法で未来永劫ガードできるといった都合のよい裏技はありません。
こうした日々の対策は、本来は事業環境や業務内容に合った守り方を専門業者と協議しながら構築するべきですが、ここでは最低限の基本的な対策をお伝えします。基本的には上記で述べた「危険な行動」の裏返しです。
①パソコンは最新のOSを使用する
②システムやアプリケーションの更新通知が出たら必ず更新する
③パスワードはサービスやシステムごとに設定する
④パスワードは見えるところに貼らない
⑤外出先でフリーWi-Fiに接続する社用パソコンや社用スマホは限定する(もしくは外出先ではフリーWi-Fiに接続せず、テザリングや自社が契約している携帯用Wi-Fi機器などで対応する)
⑥データの移動はオンライン上で行う(USBなどの物理的なメディアでの受け渡しはしない)
⑦事業所内のパソコンやタブレットの持ち出しルールを決める
⑧フリーソフトはインストールを禁止する(もしインストールする場合は組織が把握できるような体制にする)
⑨ウィルス対策ソフトの更新期限を確認し、切れている場合は更新する
⑩職員の個人スマホを事業所内のWi-Fiに接続させない(接続させる場合はゲストWi-Fiを設置して接続させる)
⑪サイバーセキュリティの専門業者に依頼して自社に合ったセキュリティ体制を構築する
最悪の事態を避けるために
サイバー攻撃への対策は、単なる事業所の努力目標ではなくなりつつあります。
ご利用者や職員の個人情報を取り扱う介護・福祉事業所には、その情報を適切に保護する法的責任が課せられています。ひとたび情報漏洩が発生すれば、個人情報保護法に基づき、個人情報保護委員会への報告や、被害者への通知・対応が義務となります。これらを怠れば、社会的信用の失墜に加え、法的制裁の対象にもなり得ます。
サイバー攻撃被害は、単なるITの問題ではなく、まさに経営と法務の根幹に関わる問題です。
サイバー攻撃によって事業が停止する危険性は十分にあり、BCPの観点で考えれば、万一の場合の対応策をしっかり準備する必要はあるといえるでしょう。
まずは本コラムで挙げた危険な特徴をチェックし、基本的な対策について自社内をチェックしてみてください。当事務所にはスタッフにセキュリティのエキスパートもおり、法令に関することは元よりこうした組織的対策についてもご相談に乗ることが可能です。事が起きる前に、お気軽にご相談頂ければと思います。
弁護士法人おかげさま無料メルマガ
当事務所は無料メルマガで最新情報、トラブル解決コラム、著書紹介、セミナー案内など、介護・福祉事業所にとって役に立つ情報を配信しております。経営者様、施設長にとって役立つ情報でもあります。無料ですので、ぜひ登録ください。
弁護士外岡 潤
弁護士法人おかげさま 代表弁護士(第二東京弁護士会所属)
2003年東京大学法学部卒業後、2005年司法試験合格。大手渉外事務所勤務を経て2009年に法律事務所おかげさまを開設。開設当初より介護・福祉特化の「介護弁護士」として事業所の支援を実施。2022年に弁護士法人おかげさまを設立。
ホームヘルパー2級、視覚ガイドヘルパー、保育士、レクリエーション検定2級の資格を保有。
