医療機関におけるサイバーセキュリティ対策
年度内に取り組むサイバーセキュリティ対策
医療機関等を狙うサイバー攻撃が増加し、手口も多様化・巧妙化しています。オンライン資格確認や電子処方箋の導入も加わり、より高いレベルのセキュリティ対策が求められる中、厚生労働省はガイドライン※1を改訂しました。
チェックリストの作成が必須
ガイドラインの記載事項のうち、何を優先して取り組むべきかは、チェックリスト※2で把握できます。立入検査時にはこのチェックリストの全項目について、日付(確認日と目標日)や回答等が記入されているかの確認が行われますので、対策が必要です。
同チェックリストは、外部のシステム事業者の利用を想定した 2 部構成(医療機関用と事業者用)です。それぞれ 2023 年度用と 2024 年度用があり、進捗の目安にもなります。医療機関用では、2023 年度中に次の事項のすべてについて、対応することを目指します。
2023 年度のチェック項目 医療機関版
医療情報システム安全管理者の設置
サーバ、端末 PC、ネットワーク機器の台帳管
理
リモートメンテナンス(保守)を利用した機器
の有無の確認
システム事業者に対し、医療情報セキュリティ
開示書の提出要請
利用者の職種・担当業務別の情報区分ごとの
アクセス利用権限設定
不要なアカウントの削除(退職者や使用してい
ないアカウント等)
アクセスログ管理
セキュリティパッチ(最新ファームウェアや更
新プログラム)の適用
接続元制限の実施
インシデント発生時の連絡体制図の策定
さらに 2024 年度は以下が追加されます。
2024 年度の追加チェック項目 医療機関版
バックグラウンドで動作する不要なソフトウェ
アやサービスの停止
インシデント発生時に診療を継続するための
備え(必要な情報の検討、データやシステムの
バックアップ、復旧手順の確認)
サイバー攻撃を想定した事業継続計画
(BCP)の策定
専門的な知識や経験が必要となる分野です。外部のシステム事業者に相談しながら、早めに対策されることをお勧めします。
※1 「医療情報システムの安全管理に関するガイドライン第 6.0 版(令和 5 年 5 月)」https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
※2 「医療機関におけるサイバーセキュリティ対策チェックリスト」https://www.mhlw.go.jp/content/10808000/001125392.pdf
および、「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル」https://www.mhlw.go.jp/content/10808000/001105752.pdf
この記事を書いた人
代表 林 正人
会社員時代に出向にて子会社の社長を歴任するも、人事労務関係の苦労を実体験した経験から「社会保険労務士」に。独立後は介護業界をはじめとする福祉と医療分野での人事労務支援と人材育成を専門に活動中。セミナーや講演会は、全国の医療・福祉団体にて年間50 回を超える。「人を大切にする経営学会」会員。趣味は年に一回、家族で行く海外または国内温泉旅行を楽しむ。
