「まさか、うちのような小さな医療法人が…」
そう思っている医療機関や調剤薬局ほど、いま狙われています。
特に最近では『ビジネスメール詐欺(BEC)』が医療業界でも増加。巧妙ななりすましや指示メールで、患者情報や財務データを盗まれる被害が発生しています。
そもそも医療情報システムガイドライン6.0とは?
厚生労働省が2022年に改訂した『医療情報システムの安全管理に関するガイドライン 第6.0版』(通称ガイドライン6.0)は、医療情報を守るための国の標準ルールです。
このガイドラインのポイントは、
- システムだけ守ればOKではない
- 職員の行動、ルール、訓練も含めて管理する
- 特に人的ミスやサイバー攻撃への対応を強化する
つまり、「パソコンにセキュリティソフトを入れているから安心」ではなく、「メールをうっかり開いた」「怪しい指示に従ってしまった」なども想定し、組織ぐるみで守ることが必要だということです。
対象は病院だけではありません。診療所や薬局、訪問看護ステーションも含まれます。
他人事じゃない|医療法人・調剤薬局の身近なメール詐欺事例
事例1:地方の精神科医療センター(2024年)
サイバー攻撃により電子カルテが停止。患者情報数万人分が外部に流出した恐れがあり、復旧に長期間を要しました。
事例2:県内の医療センター(2024年)
外部委託業者のネットワーク機器の脆弱性から侵入され、院内システムが全面停止。原因は、古いファイアウォールの未更新でした。
事例3:地方自治体立病院(2024年)
職員が私物PCを院内LANに接続し、ランサムウェア感染。電子カルテが使えず、紙カルテ対応を余儀なくされました。
事例4:県内の大学医療機関(2024年)
医師が個人で使用していたクラウドサービスのアカウントがフィッシング詐欺で乗っ取られ、269人分の患者情報を含むデータが第三者に閲覧されました。
これらは全て、「ちょっとした油断」「慣れた作業」から発生しています。ガイドライン6.0が想定するまさに「人的要因」のリスクです。
医療法人・薬局が今日からできる対策
メールアドレスはドメイン部分まで見る
「clinic.co.jp」と「cl1nic.co.jp」は全く別物。数字の1とアルファベットのl(エル)の違いなど、巧妙な偽装を見抜く目を養いましょう。
職員向けメール詐欺訓練を定期的に
月1回でも構いません。模擬詐欺メールを送る、チェックシートを使うなど、職員全員に「自分も狙われる」という意識を持たせることが重要です。
外部セキュリティサービスの活用
メール監視やAIフィルターなど、最近では導入しやすい価格帯の製品も多数登場しています。費用対効果を考え、現場負担を減らすツール導入を検討しましょう。
BCP(事業継続計画)と連携した演習
「もし詐欺被害が起きたら?」を想定した対応マニュアルを整備し、年1回は演習を。ガイドライン6.0でも、インシデント対応の訓練が求められています。
まとめ|「うちは大丈夫」は危険。今できることから始めよう
メール詐欺は、ITの専門知識だけでなく、経営判断と日常の工夫で防げます。
株式会社テクノリレーションズでは、ガイドライン6.0に沿った、医療法人・調剤薬局向けの「メール詐欺対策支援」をご提供しています。
- 社内ルール作成
- 職員向け訓練
- メール監視サービス導入支援
「うちは大丈夫」ではなく、「明日はわが身」の視点で、一歩踏み出しましょう。