るものではない。したがって、対象事業者は、代表的な脅威以外の脅威についても、提供
する医療情報システム等の構成に応じて検討し、リスクを特定すること。

表 5-1 医療情報システム等提供上の代表的な脅威

脅威
不正な閲覧・操作

ネットワーク上の盗聴・
なりすまし
高度サイバー攻撃27
ランサムウェア感染

えい

情報の窃取・漏洩

ざん

情報の改竄・破壊
医療情報システム等の停
止
技術的脆弱性の混入

機器や記憶媒体の持ち出
し時の紛失・盗難

施設への物理的侵入

災害等

脅威の具体例
正当な権限を持たない者（組織の内外を問わない）
が、医療情報、認証情報等を盗み見る。または、医
療情報システム等に関連する端末等を不適切に操作
する。
ネットワーク上を流れるデータの盗聴等により、認
証情報等を入手する。または、入手した認証情報等
を用いて正当な権限を持つ者になりすます。
標的型メール等によって医療情報システム等や関連
する端末等をマルウェアに感染させる。
医療情報システム等や関連する端末等をマルウェア
に感染させ、PC をロックする、あるいはファイルを
暗号化することによって使用不能にしたのち、その
復元と引き換えに身代金を要求する。
物理的あるいは電子的方法を用いて、医療情報等を
盗み出す。または、故意/過失に依らず、医療情報等
を不適切に組織外へ流出させる。
故意/過失に依らず、医療情報等を物理的あるいは電
子的に不正に書き換える、又は破壊する。
悪意を持った者による攻撃、あるいは過失による設
定ミスや誤操作等により、医療情報システム等が停
止する。
故意/過失に依らず、OS やミドルウェア・アプリケー
ション等のソフトウェアの脆弱性や、IoT 機器やルー
タ等のネットワーク機器の脆弱性が医療情報システ
ム等に混入する。
医療情報システム等に関連する機器や記憶媒体を業
務上の理由で施設等の外へ持ち出す際、機器や記憶
媒体を誤って紛失する、あるいは第三者に盗難され
る。
正当な権限を持たない者（組織の内外を問わない）
が、執務エリアやデータセンター等、医療情報シス
テム等に関連する機器や記憶媒体が設置されている
施設に侵入する。
自然災害や社会インフラの損失等により、医療情報
システム等に関連する機器や端末等が物理的に破損
する等して、医療情報システム等の提供に支障をき
たす。

27

閉域網内に構成される医療情報システム等においても、高度サイバー攻撃の脅威は生じ得る前提でリ
スクについて特定することが重要である。

26