今年4月に医療法施行規則が改定され、第14条第2項に、遵守すべき事項として「病院又は診療所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置を講じなければならない」との内容が追加された。3月の通知では、最新の「医療情報システムの安全管理に関するガイドライン(第6.0版)」(https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html)を参照の上、サイバー攻撃に対する対策を含めセキュリティ対策全般について適切な対応を行うとされている。
協会ホームページでは、出版物のページに「医療安全管理対策の基礎知識」(保団連発行)の追補版として、「医療情報システムの安全管理」について掲載している。医療情報システムの安全管理の概要や、厚労省チェックリスト、2023年度中に整備が必要な項目などとともに、医療機関が効率的にサイバーセキュリティに取り組むことができるよう、「情報セキュリティ指針の一例」も掲載している。保健所の立入検査では、サイバーセキュリティの取り組みについても検査対象となっており、ぜひ追補版の内容を確認いただき、各医療機関の実情に応じた整備を行っていただきたい。
「医療安全管理対策の基礎知識」(追補版から抜粋)
【立入検査での点検項目と、優先的に取り組むべき厚生労働省チェックリスト】
(1)2023年6月改定の「医療法第25条第1項の規定に基づく立入検査要綱」では、「2-19サイバーセキュリティの確保」のチェック項目として下記が新たに追加された。
1.必要な措置は「医療情報システムの安全管理に関するガイドライン第6.0版」参照
2.ガイドライン第6.0版のうち、医療機関において優先的に取り組むべき事項として、「『医療機関におけるサイバーセキュリティ対策チェックリスト』及び『医療機関におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関・事業者向け~』について」(令和5年6月9日医政参発0609第1号)で示す、「医療機関におけるサイバーセキュリティ対策チェックリスト」に必要な事項が記入されていることを確認する。
※チェックリストは(2)を参照いただきたい。
3.チェックリストにおいて医療機関に求める項目のうち、インシデント発生時の連絡体制図については、連絡体制図の提示を求めることにより、その有無を確認する。体制図に記載する連絡先は、下記が想定される。
ア 外部委託業者
イ 厚生労働省医政局特定医薬品開発支援・医療情報担当参事官室
ウ 個人情報保護委員会(個人情報保護法第26条に基づく場合)
エ 都道府県警のサイバー犯罪窓口
オ 独立行政法人情報処理推進機構(事後報告)
(2)医療機関用の「チェック項目」は下記の通りで、医療法第25条第1項に基づく立入検査において点検される。
【2023年度中に整備が必要な項目】
1.体制構築
(1) 医療情報システム安全管理責任者を設置している。
2.医療情報システムの管理・運用
≪医療情報システム全般≫
(1) サーバ、端末PC、ネットワーク機器の台帳管理を行っている。
(2)リモートメンテナンス(保守)を利用している機器の有無を事業者等に確認した。(事業者と契約していない場合は不要)
(3) 事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出してもらう。(事業者と契約していない場合は不要)
≪サーバ≫
(4)利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
(5)退職者や使用していないアカウント等、不要なアカウントを削除している。
(6)アクセスログを管理している。
≪ネットワーク機器≫
(7) セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
(8)接続元制限を実施している。
3.インシデント発生に備えた対応
(1)インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡体制図がある。
【2024年度中に整備が必要な項目】(抜粋)
2.医療情報システムの管理・運用
≪サーバ≫
(7)セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
(9)バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。
≪端末PC≫
(4)利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
(5)退職者や使用していないアカウント等、不要なアカウントを削除している。
(7)セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
(9)バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。
3.インシデント発生に備えた対応
(2)インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している。
(3)サイバー攻撃を想定した事業継続計画(BCP)を策定、又は令和6年度中に策定予定である。