記事公開日
医療機関のセキュリティ対策とは?|ガイドラインとチェックリスト活用のポイントをわかりやすく解説します
医療機関で求められるセキュリティ対策とは
「セキュリティ対策とは具体的に何を指すのか」
「どのような対策を進めればよいのか」
医療機関におけるセキュリティ対策は、
単にシステム上の不正アクセスを防ぐことだけを意味するものではありません。
患者さんの大切な医療情報を安全に守りながら、
万が一トラブルが発生した場合でも、診療を止めることなく、継続して医療を提供できる体制を整えることが重要です。
そのためには、技術的なセキュリティ対策に加え、組織体制の整備や日常業務での運用ルールの確立といった取り組みも欠かせません。
さらに、必要に応じて適切なシステムを導入し、ガイドラインへ適切に対応していくことが求められます。
なぜ医療機関にセキュリティ対策が求められるのか
医療機関に対するランサムウェア等のサイバー攻撃は近年増加傾向にあり、
診療停止や患者情報の流出などの事例が確認されています。
この現状を踏まえ、2023年4月1日より、
医療機関等におけるサイバーセキュリティ確保のために必要な措置を講じることが義務化されました。
長期的に診療が停止することがないよう早急に有効な対策を実施することが求められています。
厚生労働省が公表している資料では、
サイバーセキュリティ対策は患者さんの医療情報を守るためだけでなく、医療の継続性を支える重要な取り組みであると示されています。
電子カルテや医療情報システムは、効率的かつ正確な医療行為を行ううえで欠かせない存在です。
そのため、適切な管理の下でシステムを利用することが、診療を止めないためにも求められています。
参照:「病院における医療情報システムのサイバーセキュリティ対策に係る調査」の結果について(病床別分析結果)|厚生労働省
医療機関におけるセキュリティ対策の現状と課題
ここでは、厚生労働省が2025年に実施した
『病院における医療情報システムのサイバーセキュリティ対策に係る調査』の結果から明らかになった
セキュリティ対策の現状や課題を見ていきましょう。
◎進んでいる政策
・電子カルテのバックアップ作成 :97%の病院が実施
(バックアップデータを3つ以上保管している割合は43%)
・サーバ、端末PC、ネットワーク機器の台帳管理を行っている :90%
・サイバー攻撃に係る注意喚起や脆弱性情報を日頃から収集・確認 :83%
・USBメモリ等の外部接続媒体を運用管理規程やシステムで制限している :83%
→病床数が多い病院ほど割合が高くなる傾向にある
△課題が残る政策
・医療情報システムへの二要素認証導入 :全体で11%、500床以上の病院では31%とやや高め
・ CISOが医療情報に関連した資格を保持している:15%
(※CISOは施設や組織における情報セキュリティを統括する責任者を指します)
→CISOが資格を保持している病院の割合は、病床数が多いほど高くなる傾向がある
・各診療部門への情報セキュリティ担当者の設置 :31%
→病床数の多い病院のほうが、その割合が高い傾向にある
▶調査結果では、病床数が多い病院ほど対策の実施率が高い傾向が確認されており、
人手や専門人材が不足していることが、セキュリティ対策の遅れにつながっている可能性が考えられます。
▶二要素認証の義務化に関して
医療情報システムへの二要素認証導入に関しては、導入率がわずか11%とかなり低い数字が見られました。
「医療情報システムの安全管理に関するガイドライン」によると
2027年から医療情報システムには、二要素認証が必須となります。
医療機関では「まず何から手を付ければよいか」、自院の対策状況をしっかりと整理することが大切です。
厚生労働省のガイドラインは何を求めているのか
冒頭でも触れた通り、近年は病院や医療機関を狙ったサイバー攻撃が増加しており、
電子カルテが利用できなくなったり、診療の一部を停止せざるを得なくなるなど、
医療提供体制に影響を及ぼす事例も発生しています。
こうした状況を踏まえ、厚生労働省は
医療情報を安全に取り扱いながら、診療を継続するための考え方と対応の方向性を示しています。
ガイドラインの読み方のポイント
ガイドラインは内容が広範囲にわたるため、
すべてを一度に把握するのは難しいと感じる方も多いのではないでしょうか。
そのため、まずは全体像をつかみながら、
自院に関係するポイントを押さえて読み解いていくことが重要です。
「何が求められているのか」を整理しやすくなります。
ガイドラインは、役割や目的に応じて4つの編に分かれており、
それぞれで求められる対応内容が異なります。
全13ページで構成されており、
まずはここで、医療機関に求められるセキュリティ対策の全体像を把握します。
●経営管理編(Governance)
医療機関として、どのような責任を持ち、どのように体制を整えるべきかが整理されています。
●企画管理編(Management)
システム担当者や責任者が中心となって取り組むべき内容がまとめられています。
日常業務に直結する重要なパートです。特に以下3点のページを確認するとよいでしょう。
- 8.情報管理(管理・持ち出し・廃棄など)
- 9.医療情報システムに関わる機器や資産の管理
- 11.非常時(災害・サイバー攻撃・システム障害)への対応とBCP策定
項目は多岐にわたりますが、
運用や対応に直結する項目から確認すると理解しやすいでしょう。
●システム運用編(Control)
実際のシステム運用に関する具体的な対策が整理されています。
院長・システム担当者・ベンダーそれぞれの役割も含め、
現場ですぐに実践できる内容が多いのが特徴です。
すべてを確認するのが難しい場合は、まず以下の項目から確認するとよいでしょう。
- 7.情報管理(持ち出し・廃棄など)
- 8.利用機器・サービスに対する安全管理措置
日々の業務ですぐに実践できる具体的な対策が示されています。
サイバーセキュリティ対策チェックリストマニュアルの位置づけ
厚生労働省は、「医療情報システムの安全管理に関するガイドライン」に基づき、
医療機関等が優先的に取り組むべきサイバーセキュリティ対策を整理した
「医療機関におけるサイバーセキュリティ対策チェックリスト」を公表しています。
さらに、このチェックリストを現場で活用しやすくするために、
対策の考え方や確認方法、運用上のポイントを解説した資料として
「医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル」が公開されています。
このマニュアルでは、サイバーセキュリティ対策を
単なるIT対策ではなく、医療の継続性を支える取り組みとして位置づけています。
セキュリティチェックリストが有効な理由
ガイドラインの考え方を理解していても、
- 「自院では何ができていて、何が不足しているのか分からない」
- 「どこから手を付けるべきか迷ってしまう」
と感じている医療機関は少なくありません。
こうした課題に対して有効なのが、
厚生労働省が示しているサイバーセキュリティ対策チェックリストです。
チェックリストは、医療機関が優先的に確認すべき項目を整理したものであり、
「まず何から手を付ければよいか」を確認できるよう設計されています。
自院の対策状況を可視化でき、ガイドラインの内容を現場で実践するための“入口”として活用できます。
チェックリストでできること・分かること
サイバーセキュリティ対策チェックリストを活用することで、
自院の状況を客観的に整理することができます。
・現在、実施できている対策と未対応の対策
・早急に対応すべき項目と、計画的に進める項目
・ベンダーと連携して確認すべきポイント
・立入検査や監査に向けて準備しておくべき内容
といった点を明確にすることが可能です。
チェックリストは、専門的な知識がなくても確認できる形式になっており、
「できている/できていない」を把握すること自体が、セキュリティ対策の第一歩となります。
しかし、チェックリストだけでは不十分な理由
一方で、チェックリストを活用する中で、
「対策が形だけになってしまう」という課題も見られます。
チェック項目に回答していても、
- 本当に十分に防げる対策になっているのか
- 実際の運用として適切なのか
まで確認できていないケースは少なくありません。
例えば、
「サーバ・端末PC・ネットワーク機器の台帳管理を行っている」という項目に
チェックを付けたものの、
- 自院の管理方法がガイドラインの意図に沿っているのか分からない
- それらが網羅的に管理できているか自信がない
- 形式的に対応しているだけになっている
チェックリストは「実施状況を確認するためのツール」であり、
「どこまでやればクリアと言えるのか」「チェック項目ごとに何を確認すべきか」までを示してくれるものではありません。
その内容を理解し、実際に機能する対策として定着させることです。
このような課題をお持ちの医療機関様に向けて、
セキュリティチェックリスト対応をテーマにしたセミナーを開催しています。
※当日ご参加いただけない場合でも、後日、本セミナー動画をご提供いたしますので
ご興味がある方はぜひお申し込みください。
ぜひこの機会に一度ご検討ください。
