医療機関で管理者アカウントを共有してはいけない理由。被害実例から考える権限管理
管理者アカウントの共有は、単なる運用の近道ではありません。誰が操作したか追えなくなり、漏えいした認証情報から電子カルテ、会計、部門システム、バックアップまで被害が広がる原因になります。大阪急性期・総合医療センター、半田病院、岡山県精神科医療センター、Change Healthcareの事例をもとに、医療機関が見直すべき権限管理を整理します。
Target Reader / 対象読者
医療機関経営者、事務長、医療情報システム担当者、薬局・医療法人の本部担当者、医療DXの運用責任者
結論
医療機関で管理者アカウントを共有してはいけない理由は、事故が起きたときに「誰が、いつ、何をしたか」を追えなくなるからです。
管理者権限は、システム設定、利用者管理、データ削除、バックアップ、外部接続、セキュリティ停止に触れられる強い権限です。共有された管理者IDが漏えいすると、攻撃者にとっては正規の鍵を手に入れた状態になります。
医療機関では、被害は情報漏えいだけで終わりません。電子カルテ、医事会計、検査、画像、処方、予約、薬局連携が止まると、診療継続そのものに影響します。だからこそ、管理者権限は便利さではなく、診療継続の観点から管理する必要があります。
共有アカウントが危険な理由
共有アカウントは、最初は便利に見えます。夜間対応でも使える、ベンダーに伝えやすい、担当者が休みでもログインできる。けれども、その便利さは、監査性、責任分界、退職・異動時の管理、パスワード変更、MFAの徹底と引き換えになりがちです。
特に管理者アカウントを共有すると、ログにはアカウント名だけが残り、実際に操作した人を特定できません。設定変更、ユーザー追加、データ出力、バックアップ削除、セキュリティ停止が起きても、後から説明できない状態になります。
| 危ない運用 | 起きやすいこと | 見直し方 |
|---|---|---|
| 管理者IDを複数人で共有する | 誰が操作したか追えず、退職者や旧委託先が使い続ける可能性が残る | 個人別アカウントと役割別権限に分ける |
| 管理者権限で普段使いする | メール、Web閲覧、通常作業から侵害されたときに被害が広がる | 通常アカウントと管理用アカウントを分離する |
| 同じパスワードを複数システムで使う | 1つの漏えいが電子カルテ、会計、ファイル共有、バックアップへ横展開する | システムごとに異なる長いパスフレーズとMFAを使う |
| 保守用アカウントを常時開放する | 委託先経由の侵入や夜間の不正操作に気づきにくい | 作業時だけ有効化し、接続元、承認、ログを残す |
| バックアップ管理も同じ権限で触れる | 攻撃者が本番データとバックアップを同時に暗号化・削除できる | バックアップ権限を分離し、改ざんできない保存先を使う |
被害実例から見える共通点
大阪急性期・総合医療センターの調査報告書では、委託先との接続経路、RDPの常時接続、Built-In Administratorのパスワード解析、サーバー管理者パスワードの共通化などが、横展開と被害拡大の要因として整理されています。
徳島県つるぎ町立半田病院の報告書では、ランサムウェアを想定したBCP、バックアップ分離、VPNやRDPなど外部公開経路の確認、ログ保全、ベンダーとの連携手順が重要な論点として示されました。これは、攻撃を完全に防ぐだけでなく、止まったあとに医療を続ける準備の重要性を示しています。
岡山県精神科医療センターの報告書では、部門システムや医療機器を含め、管理者権限の付与、短いパスワード、資格情報のプログラム内記述、ウイルス対策停止、Firewall無効化などが、病院情報システム全体を脆弱にする構造として整理されています。
米国のChange Healthcareでは、遠隔アクセス系の重要システムでMFAが有効ではなく、盗まれた認証情報を使った侵入が大規模な医療支払・請求業務の停止につながりました。これは、共有アカウントに限らず、認証情報を強く守れない状態そのものが医療運営に大きな影響を与えることを示しています。
| 事例 | 権限・認証まわりの教訓 | 医療機関への示唆 |
|---|---|---|
| 大阪急性期・総合医療センター | RDP接続、管理者パスワード共通化、横展開のしやすさが被害拡大に関係した | 閉域網や委託先接続でも、管理者認証と接続経路を厳格に管理する |
| 半田病院 | VPN/RDPなど外部接続、バックアップ分離、ログ保全、BCPが重要論点になった | 侵入を前提に、止まった後の代替運用と復旧手順を用意する |
| 岡山県精神科医療センター | 管理者権限の常態化、短いパスワード、脆弱な部門システムが全体リスクになる | 電子カルテだけでなく、部門システム・医療機器・保守契約まで棚卸しする |
| Change Healthcare | 盗まれた認証情報とMFA未設定が、広範な医療支払・請求業務の停止につながった | 共有ID禁止だけでなく、MFA、遠隔アクセス制御、異常検知を必須化する |
医療機関で起きる実務上の被害
管理者アカウントの共有が危険なのは、情報システム部門だけの話ではないからです。医療では、ひとつのアカウントが侵害されることで、診療、会計、検査、薬局連携、患者案内、請求、経営判断まで影響が広がります。
特にランサムウェアでは、攻撃者が管理者権限を得ると、端末やサーバーを探索し、ファイル共有やバックアップへ到達し、復旧手段ごと暗号化する可能性があります。管理者権限は便利な作業権限ではなく、被害範囲を決める爆発半径そのものです。
- 電子カルテや部門システムが停止し、紙運用への切り替えが必要になる
- 医事会計、レセプト、請求、入金確認が止まり、資金繰りに影響する
- 検査、画像、薬局連携、配送状況の確認が遅れる
- 誰が設定変更したか説明できず、院内外への報告が難しくなる
- バックアップやログまで触られ、原因調査と復旧が遅れる
- 委託先、再委託先、医療機器ベンダーとの責任分界が曖昧になる
まずやるべきこと
最初からすべてをゼロトラスト化する必要はありません。まずは、管理者権限を持つアカウントを棚卸しし、共有されているID、退職者や旧委託先が使えるID、MFAがない遠隔接続、バックアップに触れる権限を確認します。
小規模クリニックや薬局でも、最低限の切り分けはできます。通常業務用の個人アカウント、管理作業用の個人別アカウント、緊急時用の封印アカウント、ベンダー保守用の時間限定アカウントを分けるだけでも、事故時の追跡性は大きく変わります。
| 段階 | 確認すること | 目標 |
|---|---|---|
| 1. 棚卸し | 管理者権限、保守用ID、共有ID、退職者ID、旧ベンダーIDを一覧化する | 誰が使える鍵が残っているか見える状態にする |
| 2. 分離 | 通常アカウントと管理用アカウントを分ける | 日常業務の侵害が管理者権限に直結しない状態にする |
| 3. 個人化 | 共有IDをやめ、担当者ごとのIDに置き換える | 操作ログと人を結びつける |
| 4. 強化 | MFA、長いパスフレーズ、接続元制限、作業時間制限を入れる | 盗まれたIDだけでは入れない状態にする |
| 5. 監査 | 管理者操作、ログイン失敗、権限変更、バックアップ操作を定期確認する | 異常に早く気づける状態にする |
ベンダー保守用アカウントの扱い
医療機関では、電子カルテ、レセコン、検査機器、画像システム、自動精算機、予約、問診、Webサイト、ネットワーク機器など、多くの外部ベンダーが関わります。だからこそ、保守用アカウントを常時使える共有IDとして置くことは危険です。
重要なのは、ベンダーを疑うことではありません。誰が、どの作業のために、いつ、どこから接続し、何を変更したかを、医療機関側も説明できる状態にすることです。
- 保守作業は事前申請・承認制にする
- 作業時間だけアカウントを有効化する
- 接続元IP、VPN、端末、MFAを制限する
- 作業後にログ、変更内容、完了報告を残す
- 再委託先が入る場合は、誰が入るかを医療機関側で把握する
- 契約終了、担当変更、機器入れ替え時にアカウントを無効化する
NEURONLABが支援できること
NEURONLABでは、医療DXの機能設計だけでなく、権限、履歴、確認フロー、ベンダー連携、保守時の運用まで含めて整理します。
管理者権限を誰に渡すか、どの作業を人が承認するか、どの履歴を残すか、外部連携が失敗したときに誰のタスクとして見える化するか。こうした設計は、便利な画面を作る前に決めるべき土台です。
完全な防御を約束するのではなく、侵害されにくく、侵害されても広がりにくく、止まっても戻しやすく、後から説明できる医療DXを目指します。
| 支援領域 | 設計すること |
|---|---|
| 権限設計 | 職種、拠点、役割ごとに見える情報と操作できる範囲を分ける |
| 監査ログ | 閲覧、更新、承認、連携、エラー、管理者操作を追えるようにする |
| 外部連携 | API、CSV、Excel、手動確認のどこでつなぐかを整理する |
| 保守運用 | ベンダー作業、アクセスコード、作業承認、ログ確認を設計する |
| BCP | システム停止時の代替導線、復旧優先順位、手動確認フローを整理する |
今週確認したいチェックリスト
院内で最初に確認したい項目を、管理者アカウントと権限管理に絞って整理します。
- 管理者権限を持つアカウントを一覧化しているか
- 複数人で使っている管理者IDが残っていないか
- 退職者、異動者、旧ベンダー担当者のアカウントが残っていないか
- 通常業務用アカウントで管理者作業をしていないか
- 保守用アカウントが常時有効になっていないか
- 遠隔接続にMFA、接続元制限、作業時間制限があるか
- 管理者操作、権限変更、バックアップ操作のログを確認できるか
- バックアップを管理者アカウントだけで削除・暗号化できない設計になっているか
- 委託先との契約に、認証、ログ、脆弱性対応、インシデント時の役割分担が書かれているか
参考にした公的資料・公開資料
大阪急性期・総合医療センター「情報セキュリティインシデント調査委員会 調査報告書」 https://www.gh.opho.jp/pdf/report_v01.pdf
つるぎ町立半田病院「コンピューターウイルス感染事案有識者会議調査報告書」 https://www.handa-hospital.jp/topics/2022/0616/report_02.pdf
岡山県精神科医療センター「コンピュータウイルス感染事案調査報告書」 https://www.okayama-pmc.jp/wp-content/uploads/2025/02/24bb9b94f7eb10eff58b605c01c384ad.pdf
厚生労働省「医療情報システムの安全管理に関するガイドライン 第7.0版」 https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
U.S. House Committee on Energy and Commerce「What We Learned: Change Healthcare Cyber Attack」 https://energycommerce.house.gov/posts/what-we-learned-change-healthcare-cyber-attack
FAQ
小規模クリニックでも管理者アカウントを分ける必要がありますか。
はい。人数が少ないほど共有IDに頼りがちですが、退職、委託先変更、端末感染、パスワード漏えい時に追跡できなくなります。最低限、通常業務用アカウント、管理作業用アカウント、ベンダー保守用アカウントは分けるべきです。
ベンダー保守用アカウントはどう管理すべきですか。
常時使える共有IDにせず、作業時だけ有効化し、MFA、接続元制限、作業承認、操作ログ、終了後の無効化またはパスワード変更を組み合わせて管理します。
すぐに全部を変えられない場合は何から始めるべきですか。
まず、管理者権限を持つID、共有ID、旧担当者ID、保守用ID、MFAの有無、バックアップに触れる権限を棚卸しします。そのうえで、最も強い権限から個人別アカウント化とMFAを進めます。
共有アカウントをなくすと現場運用が不便になりませんか。
最初は手間が増えたように見えますが、作業申請、緊急時アカウント、役割別権限、短時間の保守許可を設計すれば、運用を止めずに追跡性を高められます。
Consultation
個別相談が必要な論点は、現場の状況に合わせて整理できます。
現場ごとの導入相談、既存システムを活かした設計相談、配送やラストワンマイルを含む相談まで、 実運用を前提に整理します。
