病院や診療所、助産所におけるサイバーセキュリティ確保のための取組は、医療法第25条第1項に基づく立入検査の確認項目となっています。また、薬局についても同様で、薬機法に基づく立入検査にて確認が実施されます。
これら立入検査で用いられるチェックリストの2024年度版が公開されています。
チェックリストには、「医療機関確認用」「薬局確認用」と、事業者と契約している場合に用いる「事業者確認用」があります。ここでは、「医療機関確認用」を2023年度版と比較し、2024年度版で追加された事項を確認したいと思います。
「医療機関確認用」チェックリストに追加された事項
サーバについて
- セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
- バックグラウンドで動作している不要なソフトウェアおよびサービスを停止している。
端末PCについて
- 利用者の職種・担当業務別の情報区分ごとのアクセス利用権限を設定している。
- 退職者や使用していないアカウント等、不要なアカウントを削除している。
- セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
- バックグラウンドで動作している不要なソフトウェアおよびサービスを停止している。
インシデント発生に備えた対応
- インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している。
- サイバー攻撃を想定した事業継続計画(BCP)を策定している。
チェックリストとマニュアルは、以下の厚生労働省のホームページよりダウンロードできます。
[参考]
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」
本情報の転載および著作権法に定められた条件以外の複製等を禁じます。