本シリーズでは、厚生労働省の「医療情報システムの安全管理に関するガイドライン」と「令和7年度版 医療機関等におけるサイバーセキュリティ対策チェックリスト」をもとに、クリニック・病院が今すぐ確認すべき実務ポイントをわかりやすく解説します。
サイバーセキュリティ対策は、電子カルテ業者や保守会社に任せきりにするものではなく、院長先生・事務長さんが経営管理の一環として取り組むべき重要テーマです。
医療情報システム安全管理責任者の設置、機器台帳・アカウント管理、リモートメンテナンスやMDS/SDSの確認、パスワード・USB・二要素認証・アクセスログなどの日常運用、さらに立入検査で確認される連絡体制図・バックアップ・サイバーBCP・運用管理規程まで、6回に分けて整理します。
患者情報を守り、診療を止めないために、自院でできる一歩を具体的に考えるシリーズです。
「医療情報システムの安全管理に関するガイドライン」「医療機関等におけるサイバーセキュリティ対策チェックリスト」もぜひご覧ください。
| タイトル | 概要 |
|---|---|
| 第1回 サイバーセキュリティ対策チェックリストとは何か | 「医療情報システムの安全管理に関するガイドライン」と「令和7年度版サイバーセキュリティ対策チェックリスト」の関係を整理します。チェックリストは単なる確認表ではなく、医療機関が優先的に取り組むべき対策を現場で実行しやすくしたものです。院長・事務長が経営管理の一環として取り組む必要性を解説します。 |
| 第2回 まず決めるべきは責任者 | サイバーセキュリティ対策の出発点となる「医療情報システム安全管理責任者」について解説します。専任の情報システム担当者がいないクリニックや中小病院でも、誰が確認し、誰が判断し、誰が記録するのかを明確にすることが重要です。責任者の役割、院長・事務長・職員・事業者の役割分担を整理します。 |
| 第3回 電子カルテ・レセコン・PCを把握できていますか | 医療情報システムの管理・運用の基本となる、機器台帳とアカウント管理を取り上げます。電子カルテ、レセコン、端末PC、サーバ、ネットワーク機器などを一覧化し、誰が何を使っているのかを把握することが第一歩です。退職者ID、共通ID、管理者権限の放置など、現場で見落とされやすいリスクも解説します。 |
| 第4回 ベンダー任せにしない保守管理 | 電子カルテ業者、レセコン業者、ネットワーク保守会社など、事業者との確認事項を整理します。リモートメンテナンスの有無、MDS/SDSの提出、パッチ適用、パスワード管理、バックアップ体制などは、医療機関だけでは判断しにくい領域です。事業者任せにせず、確認記録を残すことの重要性を説明します。 |
| 第5回 パスワード、USB、二要素認証、アクセスログ | 日常運用の中で見落とされやすいセキュリティ対策を解説します。パスワードの付箋管理や使い回し、USBメモリの自由な使用、二要素認証の未対応、アクセスログの未確認、不要なソフトや接続の放置などは、サイバー攻撃の入口になり得ます。現場で守れるルールづくりと定期的な点検の必要性を伝えます。 |
| 第6回 立入検査で見られる書類は何か | 最終回では、立入検査で確認される書類と準備すべき内容を整理します。機器台帳、インシデント発生時の連絡体制図、バックアップ・復旧手順、サイバー攻撃を想定したBCP、運用管理規程などを、見せられる状態にしておくことが重要です。チェックリストを一過性の対応で終わらせず、年1回見直す仕組みづくりを促します。 |
監修:株式会社クロスディーズ
作成日:2026年6月10日
本コラムの内容は、作成日時点の法令・通知・事務連絡等をもとにしています。その後の改正や疑義解釈、追加通知等により、取扱いが変更されている場合がありますので、最新情報もあわせてご確認ください。