日本医科大武蔵小杉病院が2026年2月14日、ランサムウェア攻撃を受け、患者約1万人分の個人情報が流出しました。犯行グループは約150億円の身代金を要求しましたが、病院側は支払いを拒絶しました。ランサムウェアは業務停止を引き起こすだけでなく、個人情報流出と巨額の身代金要求の構図が注目を集める要因となっています。一部意見では、支払いを容認する議論もありますが、仮に支払っても完全な復旧や情報保護が保証されるわけではなく、さらに、支払金が犯罪組織を強化し、新たな被害を引き起こす可能性が挙げられています。

今回の病院へのサイバー攻撃事件は、社会全体に警鐘を鳴らす重大な問題です。まず、個人情報を守るべき医療機関が標的にされた点に深刻な異常を感じざるを得ません。また、犯行グループが150億円という巨額の身代金を要求したことからも、犯罪者側の意図的な悪意が明白です。

問題の本質は、医療機関のサイバーセキュリティ体制が未成熟な点と、ランサムウェアという手口が特異な脅威であるということです。不正侵入を許した体制の課題は、早急に議論されるべきです。

背景には、サイバー攻撃自体の技術的進化と、それに追随しきれていない社会全体のセキュリティ意識の欠如が指摘されます。

解決策としては、第一に、全医療機関がサイバーセキュリティの専門知識を備えた人材を積極的に採用・育成すること。第二に、国や専門機関が医療分野専用の高度なセキュリティシステムの開発・提供を支援すること。そして第三に、定期的なセキュリティ訓練を行い、常に最新の脅威に対応できる態勢を作る必要があります。

患者や社会の安全を守るため、医療分野のセキュリティ強化は妥協の余地がありません。今回の事件を反面教師とし、未来の被害を防ぐ具体的な行動こそが求められています。

ネットからのコメント

1、150億円という額に衝撃を受けますが、問題は金額より「払えば解決するのか」という点だと思います。犯罪者の約束に保証はなく、流出データが完全に消える確証もない。支払いが次の攻撃資金になる現実もあります。一方で、医療機関は患者の命を預かる現場。業務停止の影響は深刻です。だからこそ事後の是非だけでなく、平時からのバックアップ体制や分離保管、訓練の徹底が重要ではないでしょうか。

拒否はゴールではなく、再発を防ぐ仕組みづくりまで含めて考えるべきだと感じます。

2、見えない相手だけに対応が厄介だと思う。身代金を支払うと、その成功体験は仲間に共有され、別のグループから狙われるリスクがあることも知っておく必要がある。テログループが「割に合わない」と判断しないと減少しないので、やはり身代金を支払ってはいけないと思う。複雑化するネット社会でのリスク管理が非常に大切になってきている。

3、病院がランサムウェア被害で150億円もの身代金を要求されても支払わないのは、単に金額の問題ではなく、支払うことで犯罪を助長し、さらなる攻撃を招く危険性が極めて高いからだ。サイバー犯罪は「一度払えばまた狙われる」という構造があり、被害組織が安易に応じれば医療インフラ全体の安全性が揺らぐ。加えて、支払ってもデータが戻る保証はなく、むしろ情報漏洩や二次被害のリスクが増す。だからこそ、復旧体制の強化やバックアップ運用、法的対応を優先し、犯罪者の要求に屈しない姿勢を貫くことが最も合理的であり、長期的な安全確保につながる。

4、日本にターゲットを向けさせない為にも、身代金への支払いは違法という法律を作ってしまえば、企業側も大義名分がうまれて、支払わなくてもよくなる。そうする事で、ハッカー集団から狙われにくい国になるのではないか。ただ、企業側のセキュリティーに対する考え方のアップグレードも必要だと思うので、例えば東証上場基準などに一定のセキュリティー基準を課すなど、セキュリティーに対する基準作りも必要となってくる。世の中になったと思います。