大阪急性期・総合医療センター（以下、当センター）では、サイバー攻撃による大規模システム障害が発生し、長期間にわたり電子カルテを含めた総合情報システムが使用不能となった。 当センターは865床、36診療科ある地域医療支援病院で、医師数は研修医も含め309名、看護職員も22病棟1,024名と、大規模に分類される病院である。また大阪府の基幹災害拠点病院として、毎年災害訓練を行いながら、BCP策定に取り組んでいた。電子カルテシステムの障害が発生しても参照モードによるカルテ閲覧が可能になるよう対策を講じていたが、2022年10月31日に、電子カルテを含めた総合情報システムの多くの部分がランサムウェアにより暗号化され、通常診療が継続できなくなる事態に陥った。参照モードも使用できず、システムを含めた診療機能の復旧まで73日間を要した。 今回の発生の背景には、医療機関は閉域網の中にあるから多少セキュリティが甘くても問題ない、という風潮が根付いてしまっていたために、病院側だけでなく、医療情報ベンダーや医療機器ベンダーでさえもセキュリティに対する意識や知識が低下し、製品やサービスの開発思想そのものが時代遅れになっていたことにある。ITの専門家に言わせると、医療界の甘いセキュリティ思想は、金融や交通などのセキュリティ意識が高い分野ではあり得ない設計と厳しく批判していた。今後の医療界は、「ゼロトラスト」の概念の中で、いかに自組織の医療情報を守っていくのかを自らの力で考える時期に来た。 本講演では、サイバー攻撃により病院の医療情報システムに侵入される要因となった外部接続管理の問題点を明らかにし、そこから大規模システム障害に発展させてしまった初期設定の問題点を説明するとともに、今後の各医療機関におけるIT－BCP策定の一翼となるよう、当センターで行われた医療継続の取り組みや反省点について紹介する。