あなたが現在見ているのは サイバーセキュリティは立入検査の確認項目へ――チェックリストを“埋めるだけ”で終わらせない(第3回/全6回)

サイバーセキュリティは立入検査の確認項目へ――チェックリストを“埋めるだけ”で終わらせない(第3回/全6回)

→目次に戻る

こんにちは。M&Cパートナーコンサルティング代表の村上佳子です。

今回は、サイバーセキュリティについてお話しします。

医療機関にとって、サイバーセキュリティは、もうシステム担当者だけの話ではありません。

電子カルテ、レセコン、画像システム、予約システム、オンライン資格確認、会計システム、勤怠システム。

いまの医療機関は、さまざまなシステムに支えられています。

もし電子カルテが使えなくなったらどうなるでしょうか。

診療記録が見られない。

処方内容が分からない。

検査結果が確認できない。

会計やレセプトも止まる。

つまり、サイバー攻撃は、単なる情報漏えいの問題ではありません。

医療提供を継続できるかどうかに直結する問題です。

令和8年度の立入検査でも、医療機関におけるサイバーセキュリティの確保が確認項目として示されています。

医療法施行規則上、医療機関の管理者は、サイバーセキュリティの確保について必要な措置を講じることが求められています。

ここで大切なのは、「うちは小さいクリニックだから関係ない」と考えないことです。

サイバー攻撃は、大病院だけを狙うものではありません。

むしろ、対策が手薄な中小病院やクリニック、委託先、関連事業者を入口にして、被害が広がることもあります。

では、何から始めればよいのでしょうか。

まずは、厚生労働省の「医療機関におけるサイバーセキュリティ対策チェックリスト」を使って、自院の現状を確認することです。

ただし、ここで注意していただきたいことがあります。

チェックリストは、埋めることが目的ではありません。

「はい」に丸をつけることがゴールではないのです。

たとえば、「システム資産を把握している」という項目があったとします。

この場合、電子カルテ、レセコン、サーバー、パソコン、ネットワーク機器、Wi-Fi、NAS、外付けハードディスク、USBメモリ、クラウドサービスなど、どこまで一覧化できているでしょうか。

担当者の頭の中にあるだけでは不十分です。

一覧表として残し、更新するルールが必要です。

バックアップも同じです。

「バックアップを取っています」と言う医療機関は多いです。

しかし、復元テストをしたことがないケースも少なくありません。

サイバー攻撃を受けたとき、本当に復元できるのか。

バックアップデータまで暗号化されないように分離されているのか。

バックアップの保管場所はどこか。

誰が確認しているのか。

こうした点まで見ておく必要があります。

IDとパスワードの管理も重要です。

退職した職員のIDが残っていないか。

共有IDを使っていないか。

管理者権限を持つ人が多すぎないか。

パスワードを付箋に書いてモニターに貼っていないか。

このような基本的なことが、実際には大きなリスクになります。

また、委託先管理も見落とせません。

電子カルテ業者、レセコン業者、ネットワーク保守会社、ホームページ制作会社、予約システム会社など、医療機関には多くの外部事業者が関わっています。

障害時の連絡先は分かるか。

保守契約の範囲は明確か。

リモート接続の方法は安全か。

サイバー攻撃が起きたとき、誰が何をするのか。

ここを確認しておくことが大切です。

そして、事務長さんに特にお願いしたいのが、サイバーBCPの視点です。

サイバー攻撃を完全に防ぐことは難しい時代です。

だからこそ、攻撃を受けたときに、どの業務をどう継続するのかを考えておく必要があります。

電子カルテが使えない場合、紙カルテでどこまで診療するのか。

処方はどうするのか。

会計はどうするのか。

予約患者さんへの連絡はどうするのか。

職員への指示は誰が出すのか。

警察、保健所、厚生局、個人情報保護委員会、システム業者、保険会社など、どこに連絡する可能性があるのか。

こうしたことを、平時から整理しておくことが重要です。

サイバーセキュリティ対策は、難しい専門用語が多く、敬遠されがちです。

でも、医療機関で最初にやるべきことは、決して高度なことばかりではありません。

資産を把握する。

IDを管理する。

バックアップを確認する。

委託先との連絡体制を整理する。

職員に不審メールを開かないよう教育する。

事故が起きたときの初動を決めておく。

この基本を積み上げることが、結果的に医療機関を守ることにつながります。

今回のポイントは3つです。

1つ目は、サイバーセキュリティは情報漏えい対策だけでなく、医療提供を止めないための対策だということ。

2つ目は、チェックリストは埋めることが目的ではなく、実際の運用と記録を確認するために使うこと。

3つ目は、事務長さんが、システム担当者や委託業者任せにせず、院内全体のリスクとして把握することです。

次回は、オンライン診療についてお話しします。

オンライン診療は便利な仕組みですが、実施する以上、指針、研修、患者説明、セキュリティ、記録をセットで考える必要があります。

→目次に戻る