AIが攻撃側に回る時代のサイバー防衛——薬局は「次の標的」を想定しているか

なぜいま、この通知が重要なのか
厚生労働省は令和8年5月27日、「高性能AIの悪用リスクを踏まえたサイバーセキュリティ対策の強化について（医療機関等向け注意喚起）」と題する事務連絡を発出した。
注目すべきは、抽象的な「AI脅威」に留まらず、具体的なモデル名まで踏み込んだ点だ。本年4月に米国Anthropic社が公表したClaude Mythos PreviewをはじめとするフロンティアAIモデルにより、脆弱性の発見・修正等のサイバーセキュリティ性能が急速に向上していることを踏まえ、こうした技術進展に対応した備えが不可欠であると、国の公式文書は明言した。
背景には内閣官房国家サイバー統括室等が2026年5月18日付けで発出した「AI性能の高度化を踏まえたサイバーセキュリティ対策の強化について（重要インフラ事業者等に対する注意喚起）」がある。9省庁が連名で出した注意喚起を受けて、厚労省が医療分野向けに具体化したかたちだ。
AI技術は守る側にも攻める側にも中立に機能する。脆弱性を発見する速度が上がるということは、攻撃者が穴を見つけて侵入する速度も同様に上がるということだ。従来型の「いつか対処する」というサイクルは、もはや通用しない。

薬局が直面するリスクの解像度を上げる
「サイバーセキュリティは病院の話」という認識は、2026年時点では危険な誤解だ。特に医療分野は国民の生命・健康を支える重要インフラの一つであり、その機能が停止または低下した場合には、診療の継続性に重大な支障が生じ、国民生活に深刻な影響を及ぼすおそれがあると通知は位置づける。薬局もこの「重要インフラ」の一翼を担う。
調剤システムがランサムウェアに感染すると、最初に失われるのは画面そのものではなく、「文脈」だ。患者の薬歴、アレルギー情報、残薬状況、前回の服薬指導記録——これらが即座に参照できなくなる。電子処方箋の受付も、レセプト請求業務も止まる。お薬手帳アプリ連携、在宅患者の訪問記録、処方医への疑義照会の履歴も失われる。「次の投薬をしてよいか」を確かめる材料が根こそぎ薄くなる状態で、窓口業務を継続しなければならない現場を想像してほしい。
さらに電子処方箋が普及した現在、調剤システムの停止は単一薬局の問題に留まらない。処方医・薬局・マイナポータルが連動するインフラの一部として、停止の影響が連鎖するリスクが生じている。

今回の通知が求める8つの重点事項
今回の通知では、医療機関等が優先的に確認すべき事項として8つの重点項目が示された。
①経営層の関与とガバナンスの強化
②医療情報システムの適切なリスク管理
③脆弱性対策と資産管理の徹底
④ランサムウェア対策の強化
⑤インシデント対応体制の整備
⑥人的対策（教育・訓練）の徹底
⑦サプライチェーン・医療機器対策
⑧事業継続（BCP）と診療継続体制の確保

薬局実務の視点でとくに重く受け止めるべきは、④と⑧だ。ランサムウェア対策では、オフラインを含むバックアップの取得・保管と復旧訓練の実施が求められている。また事業継続の観点からは、システム停止時でも業務を継続するための代替手段（紙運用等）の確保と、定期的な訓練による実効性の向上が必要とされている。
「紙運用手順書が存在する」ことと「現場が実際に動ける」ことは別物だ。訓練なき手順書は、有事に開かれないまま棚に残る。

「経営層が主語」という意味
今回の通知は、経営層のリーダーシップの下でサイバーセキュリティを経営課題として位置づけ、経営層が主体的に関与することを求めている。セキュリティ責任者や体制を明確化し、組織的な管理体制を整備すること、インシデント発生時の意思決定体制・連絡系統を事前に確立することも重点事項として挙げられている。
薬局経営者・管理薬剤師にとって、これは情報システム担当者への丸投げが許されないことを意味する。「システムのことはベンダーに任せている」「クラウド薬歴だから安全」という姿勢は、経営上のリスク管理の放棄と同義だ。契約しているシステムベンダーのセキュリティ対応水準、クラウドサービス利用時の責任分担、バックアップの保存場所と世代数——これらを経営層が把握していなければ、有事の意思決定は機能しない。