電子カルテや患者の個人情報を扱う病院は、サイバー攻撃のターゲットになりやすく、被害事例も増えています。
システム停止や情報漏えいが発生すれば、診療の継続そのものに影響が及ぶため、事前の対策が重要です。特に、万が一の事態に陥ったとき、速やかな復旧・再発防止を行うためには、サイバー保険による備えが有用となります。
しかし、サイバー保険で「何を優先的に補償すべきか」は、医療機関特有の事情を踏まえて検討しなければいけません。そこでこの記事では、病院がサイバー被害を受けた場合の影響や、補償内容の優先ポイントなどをわかりやすく解説します。
大規模な医療法人から個人運営の診療所・クリニックまで、サイバー保険の導入を検討している方は、ぜひ本記事を参考に、補償体制の確立を進めてください。
病院がサイバー被害を受けた場合の影響
病院がサイバー攻撃を受けた場合、一般企業とは異なる深刻な影響が生じる可能性があります。
ランサムウェアに感染して電子カルテシステムが使用不能になると、診療記録の参照や処方の確認ができなくなり、診療の継続に支障が出ます。過去には、国内の病院がランサムウェア被害を受け、新規外来の受付停止や手術の延期を余儀なくされた事例が報じられています。
また、患者情報が漏えいした場合、個人情報保護法に基づく報告義務・通知義務が発生するだけでなく、患者からの信頼低下や損害賠償請求につながるかもしれません。医療情報は要配慮個人情報※に該当するため、PPC(個人情報保護委員会)への報告義務など、取り扱いに関する社会的な要求水準も高くなります。
※要配慮個人情報…不当な差別・偏見につながる可能性があり、特別な配慮が必要となる個人情報。
さらに、電子カルテや医事会計システムが停止した場合は、紙カルテでの運用への切り替えが必要になり、業務効率が大幅に低下します。復旧までの期間が長引けば、収益への影響も大きくなります。
病院が優先すべきサイバー保険の補償
病院などの業務特性を踏まえると、サイバー保険で優先的に確認すべき補償内容は以下の領域です。
- 業務停止補償(BI補償)
- フォレンジック調査費用
- 患者情報漏えいに伴う通知・対応費用
- 委託先経由の事故への対応
それぞれに一般企業の感覚では測りきれない「医療機関特有の事情」があるため、詳しく解説します。
業務停止補償(BI補償)
業務停止補償(BI:Business Interruption)は、システム停止による逸失利益や、仮復旧のための追加費用をカバーすることを目的とする補償です。
たとえば、電子カルテやオーダリングシステムが停止し、診療の一部または全部が行えなくなった場合の収益減少に対して、金銭的な補償を確保できます。
ただし、「業務停止」の定義(どの状態をもって停止と認定するか)、補償期間の上限、補償金額の上限は商品によって異なるため、契約前の確認が重要となります。
病院の場合、BI補償の設計は一般企業より難しくなります。なぜなら、攻撃後も診療を完全停止できないことが多く、紙運用・手作業・他院連携で診療を継続することがあるためです。
そのため、補償設計ではなにを損害として扱うかがポイントです。売上減少だけでなく、臨時人件費やシステム代替費用などの”継続費用補償”や、復旧直後にある”混乱期”への備えを重視する必要があります。
フォレンジック調査費用
フォレンジックとは、情報漏えいや不正アクセスなどが起こった際、証拠や原因、被害範囲を特定・保全する調査を指します。
医療機関の場合、単なる被害確認ではなく、診療データの真正性や漏えい範囲、医療機器や周辺システムへの波及まで確認しなければいけません。特に、医療・介護関係事業者はPPCや厚生労働省への報告があるため、スムーズかつ詳細な調査が必要です。
調査工数や報告期日の条件が厳しければ、調査費用も高くなるため、サイバー保険による金銭的備えは重要になります。
個人情報保護法26条1項に定められる報告義務。「要配慮個人情報が含まれる事態」「財産的被害が生じするおそれがある事態」「不正の目的をもって行われた漏えい等が発生した事態「1,000人を超える漏えい等が発生事態」のいずれかに該当する場合、おおむね3~5日以内に個人情報保護委員会への報告を行う。医療情報は「要配慮個人情報」に該当。
「医療情報システムの安全管理に関するガイドライン」による指針。医療機関がサイバー攻撃を受けたとき(疑いを含む)や、医療情報システムに障害が発生したときは、速やかに厚生労働省の「医政局・医療情報担当参事官室」に連絡する。
【参照】
PPC「漏えい等報告・本人への通知の義務化について」
https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/
厚生労働省「医療分野のサイバーセキュリティ対策について」
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/
患者情報漏えいに伴う通知・対応費用
個人情報保護法26条第2項では、本人への通知義務も定められています。漏えいの内容や原因について、文書や電子メールで通知しなければいけません(本人への通知が難しい場合は代替措置も可能)。
通知対応にかかる費用は、対象となる患者数や情報の種類によって大きく変動します。通知書の発送費用、問い合わせ対応のためのコールセンター設置費用などが主な費目です。
患者数が多い病院では、通知対象が数千件から数万件に及ぶ可能性もあります。「患者一人当たりの単価上限はあるか」「見舞金の扱いや対応人件費まで補償されるか」などが保険加入時のポイントになります。
委託先経由の事故への対応
医療機関では、電子カルテシステムの運用やデータ管理を外部の業者に委託しているケースが多くあります。
委託先のシステムが起因となってサイバー事故が発生した場合、自院の保険でどこまで補償されるかは、約款上の「事故の定義」や「被保険者の範囲」に左右されます。
委託先起因の事故が補償対象に含まれるかどうか、含まれる場合の条件は何かを、加入前の段階で確認しておくことが必要です。委託先との契約内容(責任分担やセキュリティ要件)もあわせて整理しておくと、補償の過不足を判断しやすくなります。
病院がサイバー保険に加入する際の窓口2つ
病院がサイバー保険に入るときは、line”>医師会などの団体保険に加入するケースと、保険会社や代理店に直接申し込むケースがあります。
最終的に「サイバー保険に加入する」というゴールは同じですが、加入条件、保険料の決まり方、補償設計の自由度などに違いがあります。どちらのルートが自院に合っているか、事前に確認しておきましょう。
①医師会などの団体保険に加入する
1つ目の窓口は、医師会や医療系団体が募集する団体保険に加入するルートです。
団体保険とは、団体が保険契約者となって制度をまとめ、構成員である医療機関が加入する仕組みをいいます。実際の補償を引き受け、保険金を支払うのは保険会社であり、加入手続きや連絡窓口として指定の代理店が入ることもあります。
団体保険のメリットは、団体向けの割引が適用されることがある点と、その団体の会員向けに制度が整理されているため加入しやすい点です。
一方で、加入にはその団体の会員であることが基本条件になります。また、団体によっては病院賠償責任保険や医師賠償責任保険に加入していることが前提になっている場合もあり、契約の自由度はあまり高くありません。
| 募集団体 | 商品名 | 取扱代理店 | 引受保険会社 |
|---|---|---|---|
| 各地域の医師会・歯科医師会(福岡県医師会、神奈川県歯科医師会など) | 医療機関用サイバー保険など | 株式会社ケンイ、株式会社神歯信栄サービスなど | 損害保険ジャパン株式会社など |
| 日本病院会 | 医療機関用サイバー保険(オールリスクプラン) | 株式会社日本病院共済会 | 損害保険ジャパン株式会社 |
| 公益社団法人全国国民健康保険診療施設協議会 | 医療機関用サイバー保険 ※病院賠償責任保険のオプション | 株式会社自治体病院共済会 | 損害保険ジャパン株式会社 |
| 一般社団法人日本美容医療リスクマネジメント協会 | サイバーリスク保険 | JAM保険センター | 東京海上日動火災保険株式会社 |
| 一般社団法人全日病厚生会 | サイバーリスク保険(ベーシック/アップグレードプラン) | 株式会社全日病福祉センター | 東京海上日動火災保険株式会社 |
すでに医師会や病院会に所属しており、加入条件を満たしているなら、まずは団体保険を検討してみましょう。保険料が割安で、制度も医療機関向けに整理されているため、基本的な補償範囲は確保できます。
②保険会社や代理店に直接申し込む
2つ目の窓口は、保険会社や代理店に直接相談し、自院単独でサイバー保険に入るルートです。こちらは団体制度とは異なり、特定の医師会や病院会の会員でなくても加入可能です。
直接申し込むルートのメリットは、複数商品を補償内容で比較できることと、自院の規模や運用に合わせたプランを検討しやすいことです。団体保険のように加入条件が固定されないため、「業務停止補償を厚くしたい」「フォレンジック費用を重視したい」など、自院の状況に応じて複数社を比較できます。
一方で、団体保険のような団体割引が使えないことが多く、保険料は個別見積りになります。また、商品によって補償範囲は異なるため、保険会社や代理店に任せきりにせず、契約内容を自院でしっかり確認することが大切です。
「自院に必要な補償を細かく調整したい」「所属団体の制度では条件が合わない」という場合は、保険会社や複数商品を扱う代理店に相談してみましょう。自院の診療体制やシステム構成に対して「より適切な補償」を提案してもらえます。
まとめ
サイバー保険の補償内容は、医療現場ならではの事情を踏まえて選ぶ必要があります。一般企業向けの設計をそのまま当てはめると、いざというときに過不足が生じかねません。
加入する商品を選ぶときは、本記事で紹介した4つの補償領域(業務停止補償・フォレンジック費用・通知対応費用・委託先経由の事故対応)を、自院の状況に照らし合わせて確認してみてください。
「まだ被害に遭っていないから大丈夫」ではなく、「被害に遭ったとき、診療を止めずに済むか」という視点が大切です。まずは現在の契約内容や加入条件を確認するところから始めてみましょう。
法人保険比較.netの
専門家マッチングサービス
- 法人保険を経営に活用したい
- いま加入している保険を見直したい
- 退職金制度や福利厚生を導入したい
- 事業承継や相続について考えたい
- 税金対策や財務戦略を相談したい
法人領域を専門とするコンサルタントが、業界の傾向や各種法規も踏まえて
"無料"で貴社に最適な保険プランを提案します。
