あなたが現在見ているのは 立入検査で見られる書類は何か――連絡体制図・バックアップ・サイバーBCP・運用管理規程を整える(第6回/全6回)

立入検査で見られる書類は何か――連絡体制図・バックアップ・サイバーBCP・運用管理規程を整える(第6回/全6回)

→目次に戻る

こんにちは。M&Cパートナーコンサルティング代表の村上佳子です。

6回にわたって、令和7年度版サイバーセキュリティ対策チェックリストの実務ポイントをお話ししてきました。

最終回の今回は、立入検査で困らないために、何を整備しておくべきかを整理します。

まず押さえておきたいのは、チェックリストは記入して終わりではないということです。

立入検査では、チェックリストの回答状況や確認日が見られます。

さらに、現物確認の対象になる資料があります。

特に重要なのは、次の4つです。

1つ目。
機器台帳。

2つ目。
インシデント発生時の連絡体制図。

3つ目。
サイバー攻撃を想定した事業継続計画、つまりBCP。

4つ目。
運用管理規程などの規程類。

この4点は、院長先生、事務長さんが優先して整備すべき資料です。

まず、機器台帳です。

これは第3回でもお話ししました。

電子カルテサーバ、レセコンサーバ、端末PC、ネットワーク機器、オンライン資格確認端末など、医療情報システムに関係する機器を一覧化します。

どこにあるのか。
誰が使っているのか。
どのソフトが入っているのか。
バージョンは何か。
稼働中か停止中か。

これを確認できる状態にしておきます。

次に、連絡体制図です。

サイバー攻撃を受けた疑いがあるとき、最初の混乱を防ぐために必要です。

誰が院内の責任者か。
誰が院長に報告するのか。
誰が電子カルテ業者に連絡するのか。
誰がネットワーク保守会社に連絡するのか。
誰が情報セキュリティ事業者や外部専門家に相談するのか。
必要に応じて、警察や厚生労働省など外部機関への連絡をどう判断するのか。

こうした連絡先と流れを、1枚の図にしておくとよいです。

大切なのは、電話番号やメールアドレスが最新であることです。

作っただけで、担当者が退職していた。
保守会社の窓口が変わっていた。
夜間休日の連絡先が分からない。

これでは意味がありません。

少なくとも年1回は確認しましょう。

次に、バックアップと復旧手順です。

サイバー攻撃で電子カルテが使えなくなったとき、バックアップがあるかどうかは非常に重要です。

ただし、バックアップは「取っているはず」では不十分です。

どのデータをバックアップしているのか。
どこに保存しているのか。
何世代残しているのか。
オフラインや書き込み不可のバックアップはあるのか。
実際に復旧できるのか。
復旧にどれくらい時間がかかるのか。

ここを確認してください。

バックアップがあっても、復旧手順が分からなければ、診療再開は遅れます。

事業者任せにせず、医療機関側も、最低限の流れを把握しておくことが大切です。

次に、サイバー攻撃を想定したBCPです。

BCPというと、地震や台風など災害対応を思い浮かべる方が多いと思います。

しかし、今はサイバー攻撃もBCPの重要テーマです。

電子カルテが使えない。
レセコンが止まった。
予約情報が見られない。
画像システムが使えない。
オンライン資格確認が使えない。

こうした状況でも、どこまで診療を継続するのかを決めておく必要があります。

たとえば、紙カルテに切り替える。
受付票を紙で作る。
処方内容を手書きで確認する。
会計は後日精算にする。
予約患者への連絡方法を決める。
救急対応や検査予約を制限する。

このように、システム停止時の診療継続方法を具体的にしておくことが重要です。

最後に、運用管理規程です。

ここまでお話ししてきた内容を、院内ルールとして文書化します。

機器台帳は誰が更新するのか。
アカウントは誰が発行し、誰が削除するのか。
退職者IDはいつ無効化するのか。
USBはどのような場合に使えるのか。
パスワードのルールはどうするのか。
ログは誰が確認するのか。
インシデント発生時は誰に報告するのか。
職員研修はいつ行うのか。

これらを規程類にまとめます。

ここで注意したいのは、立派すぎる規程を作らないことです。

現場で守れない規程は、意味がありません。

クリニックや中小病院では、まずはシンプルでよいです。

「誰が、何を、いつ確認するか」
「異常時に、誰に報告するか」
「事業者に、何を確認するか」

これが分かる規程にしてください。

最終回として、院長先生、事務長さんにお願いしたい行動をまとめます。

まず、チェックリストを手元に置く。
次に、自院の医療情報システムを一覧化する。
事業者確認用チェックリストを各ベンダーに依頼する。
機器台帳を作る。
連絡体制図を作る。
バックアップと復旧手順を確認する。
サイバー攻撃を想定したBCPを作る。
運用管理規程に落とし込む。
そして、年1回は見直す。

サイバーセキュリティ対策は、一度作れば終わりではありません。

システムは変わります。
職員も変わります。
事業者の体制も変わります。
攻撃の手口も変わります。

だからこそ、毎年確認する仕組みが必要です。

立入検査で困らないために大切なのは、完璧な専門知識ではありません。

自院のシステムを把握していること。
責任者と連絡先が決まっていること。
診療を止めないための準備があること。
事業者任せにせず、確認記録を残していること。

この4つです。

患者情報を守ることは、医療機関の信頼を守ることです。

そして、システムが止まっても診療を継続できる準備をしておくことは、地域医療を守ることでもあります。

令和7年度版チェックリストを、単なる立入検査対策で終わらせず、自院の安全管理を見直すきっかけにしていただきたいと思います。

→目次に戻る

タグ: , , ,