2022年10月31日に起きた今回のサイバー攻撃事案は、後にも先にもない大規模かつ重大な事件だったと思っています。 その時何が起きたのか、突然被害を受けた側は実際にどのように対応したのか――その記録を残しておかなければならないという嶋津岳士総長の強い思いが、この書籍を出版する出発点でした。ただ、いくつかの出版社に声をかけたのですが反応は鈍く、かろうじて「自費出版なら受けますよ」という返事があっただけで・・・。ところが、書籍の出版は諦めてセンターのホームページに記事を掲載することにしようかという話を始めた矢先のこと、メディカ出版の山形梢さんから当センターの岩瀬和裕病院長宛てに、「今回の経験と対応を本にしませんか？」という内容のとても丁寧なお手紙をいただいたのです。私どもからはメディカ出版さんにはお声がけしていなかったのですが（苦笑）。 山形さんは編集者として「医療関連感染」に向き合ってきたそうなのですが、感染対策と同様に、サイバー対策は医療現場の新たな課題であり、この知見は広く共有されるべきではないかと考え、思い切って手紙を書かれたということでした。そのご縁から、この書籍出版プロジェクトはスタートしました。 実際に書籍を出版すると、医療機関の関係者の皆さん、そして今回のアワードのようにサイバーセキュリティの専門家の皆様にもご評価いただき、大変ありがたいことだと思っています。

2025年11月9日の本書発売後、12月25日のクリスマスに出版記念シンポジウムをリアル／オンラインのハイブリッドで開催しました。書籍に書いた内容を中心に、医療現場で実際何が起きていたのか、攻撃を受けた原因は何だったのかなどについて、当センターのスタッフ、専門家の皆さん、記事を書かれた新聞記者さんを交えてお話をしました。年末の繁忙な時期にもかかわらずウェブでのエントリーは約1000人にも及びましたし、朝10時から夕方5時半までの長丁場でしたが常時600人以上はオンライン視聴されていて、大変高い関心を寄せていただきました。

当センターは、大阪府で唯一指定されている基幹災害拠点病院です。災害派遣医療チームDMAT（Disaster Medical Assistance Team）を擁しており、大阪府における全体指揮の役割に加え、東日本大震災や熊本地震など府外での災害現地への派遣も行っています。 「記録する」ということは災害対応において非常に重要な基本動作であり、常日頃から訓練を重ねています。発災の連絡があったら、まずは何時何分に誰からどういう内容が伝えられたのかをホワイトボードに書き込み、新しい情報が得られたり状況が変わったりするたびに時系列で整理・記録していきます。これは「クロノロジー」と呼ばれる災害時の情報管理手法で、文字情報だけでなく写真や動画を撮ったりすることも意識的に行っています。そして、活動が終わったら必ず反省会・振り返りを病院スタッフ全体で行います。 災害対応の訓練や実践において「記録する」ということが習慣化されているので、サイバー攻撃によって病院のデジタルシステムが麻痺してしまった状況においても、特に指示が無くても現場ごとにアナログでしっかりと記録がとられていたのです。

自然災害発生時の初動対応についてはBCP（Business Continuity Plan、事業継続計画）としてマニュアル化していますから、今回もそれに準じて対応を始めました。未明にサイバー攻撃を受けてから、9時には幹部職員が集合して現状把握、情報共有、初動対応、関係各所への連絡を行い、正午には対策本部を立ち上げ第1回対策本部会議を開催していました。最初の体制づくりは、自然災害の対策を流用できました。 しかし、すぐにランサムウェアへの対応は自然災害と同じようにはいかないということが分かりました。当センターは大阪にありますから、南海トラフ地震を想定し、まずは最初の数日間をどのようにして切り抜けるか、その後、インフラが少しずつ復旧し支援物資が届き始めたフェーズでどうするかというように想定をします。 ところが今回、ランサムウェアによるシステム障害は最初の時点でいつ復旧するのか全く見当もつきませんでした。結果的には復旧までに3カ月近くかかりました。医療機器も生きているし、電力供給も問題はない。しかしネットワークが遮断され、データが暗号化されてしまったので情報システムが使えないという状態です。現在の医療機関で医療安全を確保するためには情報システムが不可欠です。それが全てストップしてしまったので、システム無しでどのようにして医療安全を守りながら医療を継続するかという前代未聞の課題に直面しました。ですから、自然災害前提の対策から頭を切り替えて、今何が使え何が使えないのか、その中でどうすれば医療を継続できるのかを走りながら考えなければなりませんでした。 医療を継続するためには、患者さんの過去の情報――既往症、投薬履歴、入院患者さんの家族の連絡先、等々――にアクセスできるようにすることが必要不可欠です。患者さん情報を参照できる環境を我々は「参照環境」と呼んでいるのですが、バックアップデータにアクセスできるようにして「参照環境」を復旧することが現場の最優先課題であり、自然災害とは違うレベルのBCPを動かさなければいけないということを思い知らされました。そういう学びについても、この本に書き込んでいます。

医療もシステムも含めた最高責任者である病院長が大きな方針を示し、災害対策本部では災害対策室長であり高度救命救急センター長でもある藤見聡医師が現場レベルで回していきました。災害医療においては、限られた資源を効果的に活用するために体系化された7つの原則「CSCATTT」があります。

Command指揮

Safety安全

Communication情報

Assessment評価

Triage識別

Treatment治療

Transport搬送

はい、いずれの場合も「紙とペン」での運用ということを想定しています。ただ、大規模災害の場合に電力や通信は2～3日で復旧するだろうと想定するのですが、今回のサイバー攻撃についてはいつ終わるのか、いつ復旧するのかが分からない状況でした。長期システム障害に対応するための「紙運用によるBCP」ということは全く想定していなかったので、紙の記入様式や運用方法を現場レベルで見直しながらなんとか対応していました。

私は過去に、他の病院で電子カルテシステムの立ち上げを担当したことがあったので、エンジニアではありませんが、システムの仕組みや運用について全体像を理解していました。そのため、事務運営側とシステム部門側を橋渡しする役割を担っていました。 一番大変だったのはやはり発災初日です。発注先のシステムベンダーがランサムウェアに関する知識・経験をほとんど持っておらず、文字通り「ランサムウェアって何？」から始まるような状況だったのです。病院側のシステム担当者も同じような状況だったので、何が起きているのか、なぜこんなことが起きるのか、どのように調査すればいいのか、何から手をつければいいのか、全員が途方に暮れていました。 絶望的な暗闇に一筋の光が差したのは、法人本部事務局に電話連絡した時のことでした。「厚生労働省に、サイバー攻撃を受けた場合の報告窓口があるらしい」と教えてもらい、すぐに厚生労働省に電話をかけて状況を伝えたところ、「サイバーセキュリティインシデントの初動対応支援チームを派遣できますが、受け入れますか？」と意思決定を求められました。午前11時半くらいのことです。 正午からの対策会議で報告し、受け入れを決定。夕方4時くらいからリモート支援に入っていただき、翌朝10時には専門家チームが大阪の現場に入り、さっそく陣頭指揮を執っていただきました。ちなみに専門家チームは厚労省から委託を受けた一般社団法人ソフトウェア協会の方々で、今回の書籍の執筆・監修も引き受けていただき、本当にお世話になりました。 この専門家チームが組成されたきっかけは徳島県つるぎ町立半田病院でした。私どもの病院で発災したのが2022年10月31日、ハロウィンの日です。その1年前の同日、2021年10月31日に半田病院がサイバー攻撃を受けました。半田病院の取材に行った新聞記者さんが知り合いのサイバー専門家に「支援してあげてほしい」と声をかけ、半田病院に駆け付けたのが今回の書籍の執筆者にもなっていただいているソフトウェア協会の板東直樹フェローだったのです。医療機関のシステムの脆弱性を目の当たりにした板東さんは、半田病院の有識者会議の委員として調査報告書を作成し、医療情報システムの課題を報告書の中で指摘しました。その報告書を読んだ厚労省が危機感を持ち、急遽、2022年10月に研修事業や支援事業が始まり、その事業をソフトウェア協会が受託しました。奇しくも、私たちの病院が支援第一号になったのです。

医療というのは、トライ・アンド・エラーの繰り返しで成り立っています。たくさんの研究者や医療従事者が、様々な研究を重ね、技術を開発し、医療の発展のために頑張っています。その過程では数多くの失敗があり、失敗があるからこそ、新しい発見、次の成功につながる。ですから、私たち医療従事者にとっては、「失敗」について公開・共有・発信することは至極当然のことであり、使命・義務でもあるという意識が根底にあるのです。 今回の事案も、病院でこんな大規模なランサムウェア被害が発生したのは全国的にも当センターが初めてのことであり、その失敗と教訓を広く公開し共有していくことは当センターの責務であると考えていました。

「病院の情報システムは外部から切り離された閉域網だから大丈夫」というのは安易な思い込みであり間違いであるということです。閉域網だから安全という「閉域網神話」が前提にあるとどうしてもセキュリティが甘くなってしまいます。実際、我々もそう思っていました。でも、リモートメンテナンスであるとかオンライン資格確認であるとか、意識しないところでいつの間にか外部ネットワークとつながっていたのです。我々の場合は、出入りの給食業者のシステムがVPN（仮想私設網）機器の脆弱性を突かれて侵害され、そこと繋がっていた病院システムに大規模水平展開されてしまいました。 システムは病院外とつながっているという前提で対策を打っておかなければなりません。それを怠ると、病院経営がひっくり返るような大損害を受けてしまいます。「システムセキュリティに莫大な費用をかける余裕がない」という病院も少なくないでしょう。しかし、強いパスワードを設定して管理を厳重化する、外部との接続ポイントの脆弱性をしっかり管理するといった当たり前のことを徹底するだけで、多額な費用をかけずともセキュリティレベルは格段に上がります。 その点を一生懸命に訴えています。

本書の構成、執筆の発注、編集までずっと携わってきましたので、サイバーセキュリティアワード審査委員会特別賞をいただけたことは本当に光栄に思っています。出版の機会をいただいたメディカ出版さん、執筆・監修をいただいたソフトウェア協会さんの皆様にはいくら感謝してもしきれない思いです。そして、今でもあちらこちらの病院がサイバー攻撃を受けているという話を耳にしますので、本書が少しでもお役に立てれば幸いです。