こんにちは。M&Cパートナーコンサルティング代表の村上佳子です。
今回から6回にわたって、医療機関向けのサイバーセキュリティ対策についてお話しします。
テーマは、
「立入検査で困らないための医療情報システム安全管理入門」
です。
最近、医療機関へのサイバー攻撃が本当に身近な問題になっています。
大きな病院だけの話ではありません。
電子カルテを使っているクリニック。
レセコンを使っている診療所。
オンライン資格確認を導入している医療機関。
予約システムや問診システムを使っている医院。
こうした医療機関は、すべて医療情報システムを使っています。
つまり、サイバーセキュリティは、情報システム部門だけの話ではなく、院長先生や事務長さんが確認すべき経営管理のテーマになっているということです。
その中で押さえておきたいのが、厚生労働省の
「医療情報システムの安全管理に関するガイドライン」
と、
「令和7年度版 医療機関等におけるサイバーセキュリティ対策チェックリスト」
です。
ガイドラインは、医療情報システムを安全に管理するための基本的な考え方をまとめたものです。
ただ、実際に読んでみると、内容はかなり広く、専門的です。
院長先生や事務長さんからすると、
「結局、うちのクリニックでは何をすればいいのか」
「立入検査までに何を用意すればいいのか」
「電子カルテ業者に何を確認すればいいのか」
というところが分かりにくいかもしれません。
そこで使うのが、サイバーセキュリティ対策チェックリストです。
このチェックリストは、ガイドラインの内容のうち、まず医療機関が優先的に取り組むべき事項を、現場で確認しやすい形に整理したものです。
チェック項目は、大きく分けると次の4つです。
1つ目は、体制構築です。
誰が医療情報システムの安全管理を担当するのか。
責任者を置いているか。
ここを確認します。
2つ目は、医療情報システムの管理・運用です。
電子カルテのサーバ、受付や診察室のパソコン、ネットワーク機器、アカウント、パスワード、USB、アクセスログなど、日々の運用に関する項目です。
3つ目は、インシデント発生時への備えです。
サイバー攻撃を受けたときに、誰に連絡するのか。
診療をどう継続するのか。
バックアップからどう復旧するのか。
BCPを作っているか。
こうした点です。
4つ目は、規程類の整備です。
つまり、やっていることを、院内のルールとして明文化しているかです。
ここで大切なのは、チェックリストは「丸をつけるための書類」ではないということです。
「はい」と書ける状態にするために、院内の実態を確認する。
足りないところは、事業者と相談して改善する。
決めたことは、台帳や規程、BCPに残す。
この流れが大切です。
立入検査でも、チェックリストの記入状況だけではなく、一部の資料は現物確認の対象になります。
たとえば、機器台帳。
連絡体制図。
サイバー攻撃を想定したBCP。
運用管理規程。
こうしたものは、「聞かれたら説明する」ではなく、「見せられる状態」にしておく必要があります。
特にクリニックでは、
「電子カルテのことは業者さんに任せています」
「パソコンの設定は分かりません」
「何かあったら保守会社に電話します」
という運用が多いと思います。
もちろん、事業者の協力は必要です。
ただし、医療機関側にも確認責任があります。
どのシステムを使っているのか。
どの事業者と契約しているのか。
リモート保守はあるのか。
バックアップはどこに、何世代あるのか。
サイバー攻撃時に紙カルテ運用へ切り替えられるのか。
こうしたことを、院長先生、事務長さんが把握しておく必要があります。
今回の連載では、難しい専門用語をできるだけ避けて、クリニックや中小病院で実際に何をすればよいのか、順番にお話ししていきます。
まず第1回でお伝えしたいことは、ひとつです。
サイバーセキュリティ対策は、システム担当者だけの仕事ではありません。
患者情報を守り、診療を止めないための経営管理です。
まずは、令和7年度版チェックリストを印刷する。
自院で使っている医療情報システムを書き出す。
関係する事業者を一覧にする。
ここから始めてください。
次回は、最初のチェック項目である
「医療情報システム安全管理責任者」
についてお話しします。
