目次

• 医療機関において情報管理が重視される理由
• 「医療情報システムの安全管理に関するガイドライン」とは
• 医療法に基づく立入検査
• 「医療情報システムの安全管理に関するガイドライン　第6.0版」の主な改定内容
• 医療機関におけるサイバーセキュリティ対策チェックリストに基づいて医療機関が実施すべき対策
• 医療情報安全ガイドラインに対応したセキュリティ対策の提案はNECフィールディングにお任せください

医療機関において情報管理が重視される理由

電子カルテをはじめとした医療情報を活用したシステムも進化し、近年では一般のクリニックや歯科診療所、薬局などでも医療情報を取り扱うようになりました。患者さまに適切な医療サービスを提供するためには、医療機関の間で患者さまの情報を迅速かつ正確に連携し、活用することが不可欠です。
一方で医療情報システムの脆弱性を突いたサイバー攻撃はたびたび起きています。最重要な個人情報に位置付けられる医療情報を活用し守るためには、安全性の高いシステムを構築しなければなりません。

こういった状況を踏まえ、厚生労働省は医療法施行規則を改正し、医療機関におけるサイバーセキュリティ対策を2023年4月に義務化しました。
この、サイバーセキュリティ対策の義務化に合わせて、厚生労働省は「医療情報システムの安全管理に関するガイドライン」の改訂や、「医療機関におけるサイバーセキュリティ対策チェックリスト」の公開もしています。

医療機関がサイバーセキュリティ対策を進めるうえで重要な指標となる、「医療情報システムの安全管理に関するガイドライン」と「医療機関におけるサイバーセキュリティ対策チェックリスト」について詳しく確認していきましょう。

「医療情報システムの安全管理に関するガイドライン　第6.0版」とは

「医療情報システムの安全管理に関するガイドライン 第6.0版」は、医療情報システムの取り扱いと情報管理を適切に行うため、国が定めたものです。

サーバ、クライアント、ネットワークなどさまざまな領域に対して要件が定められており、次のような要件があります。

紹介した要件はほんの一部で多数の要件が定められています。

医療情報システムの利用増加やサイバー攻撃の多様化に伴い、医療情報システムの安全管理の実効性を高めるために、内容の見直しが行われています。2023年（令和5年）5月には第6.0版が策定されました。

参考：「医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）」（厚生労働省）　※外部サイトへ移動します

医療情報安全ガイドラインの目的・範囲

医療情報安全ガイドラインは、医療情報システムのセキュリティ管理を目的として作成されています。一般的な情報システムよりも安全性の高いシステム構築・運用を行うため、e-文書法や個人情報保護関連などの法律に対応した内容となっています。

医療情報安全ガイドラインが対象とする医療情報システムは、医療情報を保存するシステムのみならず、医療情報を扱うシステム全般です。

医療法に基づく立入検査

医療機関のセキュリティ対策は「医療情報システムの安全管理に関するガイドライン」に基づき進められてきました。
しかし、厚生労働省が病院への調査を行ったところ、各病院が自主的なセキュリティ対策の取り組みを進めるだけでは対策が不十分と考えられる結果が見られました。

そこで、医療機関がサイバーセキュリティを確保するための具体的な対策を明示し、支援・助言を行うための検査として「医療法に基づく立入検査」が開始されました。この医療法に基づく立入検査では「医療情報システムの安全管理に関するガイドライン」のチェックリストに基づいた対策が行われているかの確認が行われます。

【チェックリストの検査項目】

• 1．体制構築
• 2．医療情報システムの管理・運用
  - サーバや端末PCのセキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
  - 端末PCの利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している
• 3．インシデント発生に備えた対応
  - データやシステムのバックアップの実施と復旧手順を確認している　など
•  

紹介したチェックリスト項目は一部で、その他にも多数の項目があります。

参考：「医療法に基づく立入検査について」（厚生労働省）　※外部サイトへ移動します

「医療情報システムの安全管理に関するガイドライン　第6.0版」の主な改定内容

「医療情報システムの安全管理に関するガイドライン　第6.0版」では全体構成の見直しがされており、概説編、経営管理編、企画管理編、システム運用編の4部構成となりました。Q&Aを充実させるなど、内容も見直されています。背景には、医療機関・薬局において2023年（令和5年）4月からオンライン資格確認の導入が原則義務化されていることが挙げられます。
また、昨今医療機関がランサムウェアなどのサイバー攻撃の標的とされ被害に遭う事例が急増しています。多様・巧妙化するサイバー攻撃を防ぐため、技術的な内容について改定されています。

外部委託、外部サービスの利用に関する整理

昨今では医療情報システムにおいても多様なクラウドサービスが活用されています。最新の医療情報安全ガイドラインでは、医療機関側とクラウドサービス事業者の責任範囲を明確化し、クラウドサービスの特徴を踏まえたリスクや対策の考え方が整理されました。

医療機関側の責任範囲は、安全なクラウドサービスの選定とサービス稼働後の監視・管理、サービス事業者側はクラウドサービスの技術的な管理をすべて行います。医療機関で自社開発を行ったシステムは、サービス事業者の責任範囲の対象外です。

ネットワーク境界防御型思考／ゼロトラストネットワーク型思考

サイバー攻撃の巧妙化により、従来のネットワーク境界防御型思考だけでは外部から侵入されるリスクが高まっているうえに、テレワークやクラウドサービスの登場でより内部・外部の境界を設定するのが難しくなりました。
そこで、ゼロトラストネットワーク型思考を取り入れてすべてのアクセスを監視することで、外部から内部への侵入にも適切に対処できるようになります。

災害、サイバー攻撃、システム障害などの非常時への対応や対策

同じ「非常時」でも、地震や台風などの自然災害と、サイバー攻撃、システム障害では対応が異なります。非常時の対応を強固なものにするために、最新の医療情報安全ガイドラインでは非常時それぞれの場面に応じた対策が整理されています。

本人確認を要する場面での運用（eKYCの活用）の検討

オンライン上で本人確認ができる仕組み「eKYC（electronic Know Your Customer）」の活用についても検討されています。eKYCには多様な方法があり、本人認証技術の信頼度も異なります。
その他、オンライン資格確認の導入に必要なネットワーク機器の安全管理や、新たなネットワーク技術の利用、制度・規格の変更についても記載されています。

医療機関におけるサイバーセキュリティ対策チェックリストに基づいて医療機関が実施すべき対策

医療情報安全ガイドラインの中に、優先的に取り組むべき事項として「医療機関におけるサイバーセキュリティ対策チェックリスト」がまとめられています。

医療機関におけるサイバーセキュリティ対策チェックリストとは

医療機関は年1回医療法に基づいた管理を実施しているか検査を受ける必要がありますが、チェックリストの項目は立ち入り検査対象となる事項です。チェックリストに記載されている項目の例を挙げます。

参考：令和6年度版　医療機関におけるサイバーセキュリティ対策チェックリスト（厚生労働省）

医療情報安全ガイドラインに対応したセキュリティ対策の提案はNECフィールディングにお任せください

医療機関におけるセキュリティ対策は、医療情報安全ガイドラインのチェックリストに基づき、優先順位をつけて対応していくことが求められます。しかしチェックリストにはどういった対策をとれば良いのかなど詳細な対策方法まで記載されていないため、どのように対応すればよいのか分からないこともあるでしょう。

NECフィールディングでは、医療機関向けセキュリティ対策をサポートしています。

・ガイドラインがあるのは知っているけれど内容の確認ができていない
・具体的にどういった対策をとれば良いのかがわからない
・何から対策をすれば良いのかがわからない　など

ガイドライン・チェックリストの対応に課題を抱えている場合はお気軽にご相談ください。

発行元：NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。