診療所・薬局のランサムウェア対策は何から確認すべきか
診療所・薬局のランサムウェア対策は、高価な製品の導入前に、外部接続、管理者アカウント、委託先、バックアップ、停止時の代替運用を一覧化することから始めます。
Target Reader / 対象読者
専任IT担当者が少なく、ランサムウェア対策の優先順位を整理したい診療所・薬局の経営者、事務長、管理者
結論
診療所・薬局のランサムウェア対策は、攻撃を完全に防ぐ製品を探すことではなく、どこにつながり、誰が管理し、止まったときにどう診療を続けるかを把握することから始まります。
特に外部ベンダーの保守経路、共有された管理者ID、バックアップの復元性、停止時の連絡順は、平時に確認しておく必要があります。
この記事で分かること
本稿は、権限、初動対応、診療継続の境界を軸に、「最初に一覧化する外部接続」、「管理者IDと委託先の確認」を整理します。
- 最初に一覧化する外部接続
- 管理者IDと委託先の確認
- バックアップで確認すべきこと
- 停止時の診療継続と連絡順
対象となる状況と、つまずきやすい点
「電子カルテやレセコンを外部保守している」、「VPNやクラウドの管理者が分からない」といった状況がある場合は、製品や機能を決める前に、権限、初動対応、診療継続の境界を確認する必要があります。
- 閉域網だから安全だと思っている
- 外部接続と保守用アカウントを一覧化していない
- バックアップを本番と同じ権限だけで管理している
- 誰がベンダーへ連絡するか決まっていない
- セキュリティ製品の導入だけで完了したと考える
- 委託先側の接続や再委託を確認しない
- 復元テストをしないままバックアップがあると判断する
- 緊急連絡先を担当者個人だけが持つ
比較・判断ポイント
外部接続、権限、委託先を同じ表で確認し、機能の有無だけでなく、担当者や例外時の運用まで比較します。
| 論点 | 確認したいこと |
|---|---|
| 外部接続 | VPN、リモート保守、クラウド、薬局・決済連携を把握しているか |
| 権限 | 管理者IDを個人別にし、強い権限を分けているか |
| 委託先 | 保守時間、接続方法、障害時の確認先が明確か |
| バックアップ | 本番と分離し、復元手順と優先順位を確認しているか |
| BCP | システム停止時の紙運用、患者案内、連絡順があるか |
NEURONLABならどう整理するか
NEURONLABでは、厚生労働省の公開チェックリストを土台に、外部接続、権限、委託先、バックアップ、代替運用を現場の言葉で棚卸しします。
現状差分表、接続・責任分界図、30日・90日改善計画、BCP改善項目を残し、技術診断や専門確認が必要な項目を切り分けます。
相談前に確認すること
初回相談では、「利用中の電子カルテ・レセコン・調剤システム」、「外部ベンダーと保守方法」が分かると現状整理が進みます。未確認の項目は無理に埋めず、相談の中で確認先と優先順位を切り分けられます。
- 利用中の電子カルテ・レセコン・調剤システム
- 外部ベンダーと保守方法
- VPN・リモート接続・クラウド
- バックアップの保存先と復元確認日
- 停止時に優先する診療・受付・会計業務
参考にした公的資料
厚生労働省『医療情報システムの安全管理に関するガイドライン 第7.0版』 https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
厚生労働省『医療機関・薬局におけるサイバーセキュリティ対策チェックリスト』 https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
FAQ
小規模な診療所や薬局も対象ですか。
対象です。専任担当者が少ない施設ほど、管理者、委託先、連絡先を一覧化しておくことが重要です。
脆弱性診断も受けられますか。
NEURONLABの本支援には含みません。技術診断や専門事業者への相談が必要な項目を切り分けます。
Consultation
個別相談が必要な論点は、現場の状況に合わせて整理できます。
現場ごとの導入相談、既存システムを活かした設計相談、配送やラストワンマイルを含む相談まで、 実運用を前提に整理します。
