年度内に取り組むサイバーセキュリティ対策
医療機関等を狙うサイバー攻撃が増加し、手口も多様化・巧妙化しています。
オンライン資格確認や電子処方箋の導入も加わり、より高いレベルのセキュリティ対策が求められる中、厚生労働省はガイドラインを改訂しました。
厚生労働省
「医療情報システムの安全管理に関するガイドライン第6.0版(令和5年5月)」
ガイドラインの記載事項のうち、何を優先して取り組むべきかは、チェックリストで把握できます。立入検査時にはこのチェックリストの全項目について、日付(確認日と目標日)や回答等が記入されているかの確認が行われますので、対策が必要です。
厚生労働省
「医療機関におけるサイバーセキュリティ対策チェックリスト」
「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル」
このチェックリストは、外部のシステム事業者の利用を想定した2部構成(医療機関用と事業者用)です。それぞれ2023年度用と2024年度用があり、進捗の目安にもなります。医療機関用では、2023年度中に以下の事項のすべてについて、対応することを目指します。
2023年度のチェック項目 医療機関版
- □ 医療情報システム安全管理者の設置
- □ サーバ、端末PC、ネットワーク機器の台帳管理
- □ リモートメンテナンス(保守)を利用した機器の有無の確認
- □ システム事業者に対し、医療情報セキュリティ開示書の提出要請
- □ 利用者の職種・担当業務別の情報区分ごとのアクセス利用権限設定
- □ 不要なアカウントの削除(退職者や使用していないアカウント等)
- □ アクセスログ管理
- □ セキュリティパッチ(最新ファームウェアや更新プログラム)の適用
- □ 接続元制限の実施
- □ インシデント発生時の連絡体制図の策定
さらに2024年度は以下が追加されます。
2024年度の追加チェック項目 医療機関版
- □ バックグラウンドで動作する不要なソフトウェアやサービスの停止
- □ インシデント発生時に診療を継続するための備え
(必要な情報の検討、データやシステムのバックアップ、復旧手順の確認) - □ サイバー攻撃を想定した事業継続計画(BCP)の策定
専門的な知識や経験が必要となる分野です。外部のシステム事業者に相談しながら、早めに対策されることをお勧めします。
本情報の転載および著作権法に定められた条件以外の複製等を禁じます。