こんにちは。M&Cパートナーコンサルティング代表の村上佳子です。
今回は、令和7年度版サイバーセキュリティ対策チェックリストの最初の項目、
「医療情報システム安全管理責任者」
についてお話しします。
チェックリストでは、まず
「医療情報システム安全管理責任者を設置している」
という項目があります。
この項目を見て、クリニックの院長先生や事務長さんから、よくこう聞かれます。
「うちには情報システム部門なんてありません」
「専任の担当者はいません」
「電子カルテ業者に任せているのですが、それではだめですか」
気持ちはよく分かります。
大病院であれば、情報システム部門があり、専任の担当者がいるかもしれません。
でも、多くのクリニックや中小病院では、院長先生、事務長さん、医事課、総務担当者が、ほかの業務と兼務しながら対応しているのが現実です。
では、専任者がいないと対応できないのでしょうか。
そうではありません。
大切なのは、誰が責任を持って確認するのかを決めることです。
医療情報システム安全管理責任者の役割は、細かいシステム設定を全部自分で行うことではありません。
情報セキュリティの方針を決める。
必要な確認を進める。
職員への教育や注意喚起を行う。
事業者との確認を行う。
インシデント発生時の対応体制を整える。
こうしたことを、院内で推進する役割です。
クリニックであれば、院長先生が責任者になるケースもあります。
事務長さんや管理者が実務を担い、院長先生が最終判断をする形もあります。
中小病院であれば、事務部長、総務課長、医事課長、システム担当者が役割分担することも考えられます。
ここで避けたいのは、責任者があいまいな状態です。
電子カルテのことは業者。
パソコンのことは詳しい職員。
ネットワークのことは保守会社。
個人情報のことは事務長。
何かあったときは院長。
このように、何となく分かれているだけでは、いざというときに動けません。
たとえば、電子カルテが急に開かなくなったとします。
誰が最初に確認するのか。
誰がベンダーに連絡するのか。
誰が院長に報告するのか。
誰が診療継続の判断をするのか。
誰が職員に紙運用への切替を指示するのか。
誰が厚生労働省や警察など外部機関への連絡を検討するのか。
この流れが決まっていなければ、現場は混乱します。
責任者を決めるというのは、肩書きを置くだけではありません。
サイバーセキュリティ対策を、院内の誰が主導するのかを明確にすることです。
まず、次のように整理してみてください。
院長先生は、最終責任者として方針と判断を行う。
事務長さんは、チェックリストの進捗管理、事業者確認、書類整備を行う。
システムに詳しい職員は、機器台帳やアカウント管理の確認を行う。
電子カルテ業者や保守会社は、技術的な設定やバックアップ、リモート保守の状況を回答する。
このように役割を分けると、現実的に動きやすくなります。
もうひとつ大事なのは、責任者を決めたら、職員に共有することです。
「何かおかしいと思ったら、まず誰に言うのか」
「不審なメールを開いてしまったら、誰に報告するのか」
「USBメモリを使いたいときは、誰に確認するのか」
「パスワードを忘れたとき、誰に相談するのか」
この入口が分かっていないと、インシデントの発見が遅れます。
サイバー攻撃は、初動が大切です。
早く気づく。
早く共有する。
早く止める。
早く事業者に連絡する。
そのためには、責任者と連絡ルートが決まっていることが必要です。
今回、院長先生や事務長さんにまずやっていただきたいことは、次の3つです。
1つ目。
医療情報システム安全管理責任者を誰にするか決めること。
2つ目。
その人が何を担当するのか、簡単に書き出すこと。
3つ目。
職員に「システムや情報セキュリティで困ったら、まず誰に報告するか」を共有すること。
ここまでできれば、チェックリストの最初の一歩はかなり前に進みます。
サイバーセキュリティ対策は、難しい機械の話から始める必要はありません。
まずは、人と役割を決めること。
ここが出発点です。
次回は、医療情報システムの管理・運用のうち、機器台帳とアカウント管理についてお話しします。
