いま医療機関のサイバー対策は、医療法第25条にもとづく立入検査の確認項目です。
厚労省の「サイバーセキュリティ対策チェックリスト(2025年度版)」で、クリニック・診療所にも具体的な対応が求められています。
元消防士の「点検する目」とAIの精度で、目に見えないリスクを今すぐ可視化します。
※ SSL・管理画面露出など公開情報のみを確認します。不正アクセス禁止法を遵守。
▼ 業界別に最適化されたページで詳しく見る
「うちは小さいから狙われない」「ITは業者任せで大丈夫」── 実は、これが一番危ない考え方です。 むずかしい言葉は使いません。3つだけ覚えてください。
| ❌ よくある誤解 | ⭕ 実際は… |
|---|---|
| 「うちは小さいから狙われない」 | むしろ逆。2025年、宇都宮の一般クリニックで患者情報 最大30万件が流出。情シス担当を置けない小さい施設ほど狙われやすい。 |
| 「ホームページは業者任せだから安心」 | 業者によって保守はバラバラ。更新やセキュリティ対策が契約に含まれず、穴が放置されがち |
| 「ウイルス対策ソフトを入れてるから大丈夫」 | ソフトでは防げない「裏口」からの侵入が今の主流 |
| 「外周点検が異常なしなら、もう安全」 | それは玄関だけ。中(院内)の点検も必須 |
火災と同じです。「起きてから」の対応は、コストも時間も桁違いにかかります。 クリニック・医療機関を狙ったサイバー攻撃は増加の一途をたどり、 経営存続を揺るがす事態になっています。
過去に医療・介護分野が外部からのサイバー攻撃を受けた地域です(誤送信などの人的ミスは除き、攻撃のみを集計)。小さな事業所から大規模施設まで規模を問いません。「地方だから」「小さいから」は通用しません。
※ 国内外86件の被害事例から医療分野(27件)を抽出。海外1件(米 Change Healthcare)等は地図外。出典は厚生労働省報告書・各院公表・報道。医療機関名は二次被害防止のため伏せています。
国内外86件の被害を分析すると、攻撃者が使う「入口」はほぼパターンが決まっていました。むずかしい言葉を抜きにすると、こうです。
入られた後の結末がランサムウェア(全データ暗号化)=86件中25件。
外周点検(Lv.1〜2)は「外から見える入口」=🚪古いVPN・🌐サイトの穴・露出した管理画面を、攻撃者より先に塞ぐもの。VPNは件数こそ少なくても、半田病院・大阪のように被害は最大級です。
⚠ これは「病院だけ」の話ではありません。
EC・ホテル・製造・学習塾・銀行…顧客名簿を持つ会社はすべて標的です。実際、KADOKAWA・アスクル・公文(最大約75万人分)のような大手でさえ防げていません。「うちは小さいから関係ない」が、いちばん危険な思い込みです。
消防の世界では「火災は起きてからでは遅い」という鉄則があります。
だからこそ私たちは年に1度、定期的な査察点検を行い、
「もし火が出たら延焼する恐れのある箇所」を未然に除去します。
ITも同じです。侵入口(脆弱性)を塞いでおく費用は数万円ですが、
侵入されてからの被害回復費用は数千万〜数億円規模になります。
点検は「コスト」ではなく「安全対策」です。
「セキュリティは大きな病院の話」── もう、そうではありません。 医療法第25条にもとづく都道府県の立入検査で、サイバーセキュリティ対策の確認が始まっています(2023年6月〜)。 対象は病院だけでなく、診療所(クリニック)・助産所も含まれます。
チェックリストには「やるべきこと」がずらりと並んでいます。でも現場の本音は 「うちは、どこまでできていて、何が足りないのか」が分からないこと。 Prevention の外周点検は、このチェックリストの該当項目に照らして「今の状態」をA4レポート1枚に可視化します。 検査で慌てないために、まずは現状把握から始めてください。
消防署の「予防」での経験をもとに構築した、 独自の点検スキームです。「外側から順番に、リスクを判断しながら調査する」という 消防点検の論理をそのままITに適用しています。 ほとんどの施設はレベル1〜2の無料・低コスト点検だけでも、 重大なリスクを発見できます。
| レベル | 診断内容 | 消防での例え | リスク | 費用感 |
|---|---|---|---|---|
| Lv.1 外周目視 | 公開情報の収集(SSL証明書、管理画面の露出、HTTPヘッダーなど) | 建物の外観点検(ゴミの放置、扉の破損など) | ゼロ | 無料 |
| Lv.2 軽検査 | 入口の戸締まり確認(ポートスキャン)・使用ソフトウェアの特定・旧バージョン検出 | 外部の安全性確認、ドアを叩いて回る、鍵の型番確認 | 極低 | 数万円〜 |
| Lv.3 精密診断 | 非破壊的な脆弱性スキャン・セキュリティの弱い部分がないか評価・厚労省ガイドライン照合 | 鍵穴を覗き、内部の欠陥を特定 | 低 | 数十万円〜 |
| Lv.4 疑似検査 | 疑似的に侵入を試し、突破できる弱点がないか確認(認証突破の試行) | 建物内部の安全性の確認 | 中〜高 | 要相談 |
| Lv.5 破壊検査 | 負荷テスト・ストレス下での状況確認 | 大切なデータや資産等が失わないように保管されているか? | 確実 | 要相談 |
「ホームページは専門業者に任せているから、カルテシステムとは別なので安心」
── この思い込みが、施設全体の「全焼」を招く最大のリスクです。
※ 侵入口(裏口)は、管理画面URL(/wp-admin など)の露出・旧バージョンのVPN装置・古いCMSの脆弱性などです。 入口は小さくても、サイト管理PCが院内Wi-Fiに繋がっていれば、そこを踏み台に電子カルテ・診療記録まで到達し、すべてを暗号化(ランサムウェア)して身代金を要求されます。
消防の世界でも、「小さな着火点」が壁の中を伝って建物全体に広がる「延焼」が最も危険とされています。
ITの世界でも同様です。侵入口は小さくとも、内部に入れば歯止めが効かなくなります。
だからこそ「外周目視点検(Lv.1)」から始めることが重要なのです。
入口に鍵がかかっているかどうか、それだけで多くのリスクを未然に防げます。
ホームページ(外)の点検と、院内・社内ネットワーク(中)の点検は、まったくの別物です。 玄関の鍵を確認しても、家の中の金庫が無防備なら意味がありません。 「外がOK = 安全」ではないことを、わかりやすく整理しました。
この絵の意味:
外(入口)は鍵がかかっていて、外から見ると「安全そう」に見えます。
ところが一度裏口を破られて中に入られると、患者情報や個人情報が入った棚はこじ開けられ、根こそぎ盗まれます。
外周点検が「異常なし」でも、それは入口が無事なだけ。中まで点検して初めて、この絵のような被害につながる弱点がないか(盗まれやすい状態でないか)を確かめられます。
| 🌐 外(ホームページ・入口) | 🏥 中(院内ネット・PC・カルテ) | |
|---|---|---|
| たとえると | 建物の玄関・外壁・看板 | 部屋・金庫・カルテ保管室 |
| 点検レベル | Lv.1 Lv.2 外周点検(無料〜) | Lv.3〜Lv.5 内部診断 |
| わかること | 鍵がかかっているか/裏口が外から見えていないか | 侵入されても被害が広がらないか/カルテが守られているか |
| 外がOKでも… | 玄関が無事なだけ | 中は未チェック。必ず点検が必要 |
⚠ よくある勘違い:「無料点検で異常なしだったから、もう安心」
外周点検で「異常なし」でも、それは玄関が無事なだけです。
空き巣は窓・裏口・ガレージからも入ります。
本当に守るべき「中(電子カルテ・患者情報)」が安全かどうかは、
中の点検をして初めてわかります。外と中、両方そろって初めて「安全」です。
「AIで現場を楽にする。人が変わっても、医療・介護の現場が止まらない社会へ。」
クリニックには、セキュリティ機器・保険・システムの営業電話が毎日のようにかかってきます。 その多くは「何かを売りたい人」。私たちは、そもそも立ち位置が違います。
| 📞 よくあるセキュリティ営業 | 🔥 Prevention(私たち) | |
|---|---|---|
| 目的 | 自社の製品を売る(UTM・EDR・保険) | 製品は売りません。現状を「点検」して見える化するだけ |
| 誰が来るか | 顔の見えないコールセンター・代理店 | 元消防士=「点検」の本職。代表本人が対応 |
| 最初の一歩 | まず契約・見積もり | まず無料の外周点検+レポート。費用はご依頼段階から |
| 医療の理解 | 業種を問わない汎用パッケージ提案 | 電子カルテ・レセコンが止まる=診療停止を分かっている |
| 立場 | 自社製品ありきの提案 | 第三者の点検。必要なら既存の保守業者への改善提案も |
私たちは、いわば「セカンドオピニオン」です。
薬を売る営業ではなく、現状を診る側に立ちます。だから営業電話はいたしませんし、
点検結果をお伝えしたあとの判断は、すべて院長にお任せします。
「何を買うか」の前に、「本当に危ないのはどこか」を、費用ゼロで正確に知る。それが Prevention です。
ドメインを入力するだけ。5分で完了する外周目視点検(Lv.1)は完全無料です。 その結果をもとに、LINEにて詳細な診断レポートをPDFでお届けします。 費用が発生するのは、ご依頼いただく段階からです。
ドメインを入力するだけの無料点検(Lv.1)、またはサービスに関するご相談をお気軽にどうぞ。
担当者より1〜2営業日以内にご連絡します。
本調査は公開情報の範囲内で行い、不正アクセス禁止法を完全に遵守します。
厚生労働省「医療情報システム安全管理ガイドライン第6.0版」準拠。