年度内に取り組むサイバーセキュリティ対策 

年度内に取り組むサイバーセキュリティ対策

　医療機関等を狙うサイバー攻撃が増加し、手口も多様化・巧妙化しています。

　オンライン資格確認や電子処方箋の導入も加わり、より高いレベルのセキュリティ対策が求められる中、厚生労働省はガイドラインを改訂しました。

厚生労働省
「医療情報システムの安全管理に関するガイドライン第6.0版（令和5年5月）」

　ガイドラインの記載事項のうち、何を優先して取り組むべきかは、チェックリストで把握できます。立入検査時にはこのチェックリストの全項目について、日付（確認日と目標日）や回答等が記入されているかの確認が行われますので、対策が必要です。

厚生労働省
「医療機関におけるサイバーセキュリティ対策チェックリスト」
「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル」

　このチェックリストは、外部のシステム事業者の利用を想定した2部構成（医療機関用と事業者用）です。それぞれ2023年度用と2024年度用があり、進捗の目安にもなります。医療機関用では、2023年度中に以下の事項のすべてについて、対応することを目指します。

2023年度のチェック項目　医療機関版

• □ 医療情報システム安全管理者の設置
• □ サーバ、端末PC、ネットワーク機器の台帳管理
• □ リモートメンテナンス（保守）を利用した機器の有無の確認
• □ システム事業者に対し、医療情報セキュリティ開示書の提出要請
• □ 利用者の職種・担当業務別の情報区分ごとのアクセス利用権限設定
• □ 不要なアカウントの削除（退職者や使用していないアカウント等）
• □ アクセスログ管理
• □ セキュリティパッチ（最新ファームウェアや更新プログラム）の適用
• □ 接続元制限の実施
• □ インシデント発生時の連絡体制図の策定

さらに2024年度は以下が追加されます。

2024年度の追加チェック項目　医療機関版

• □ バックグラウンドで動作する不要なソフトウェアやサービスの停止
• □ インシデント発生時に診療を継続するための備え
  （必要な情報の検討、データやシステムのバックアップ、復旧手順の確認）
• □ サイバー攻撃を想定した事業継続計画（BCP）の策定

　専門的な知識や経験が必要となる分野です。外部のシステム事業者に相談しながら、早めに対策されることをお勧めします。