昨年度から、医療法や薬機法に基づく立入検査の項目に、サイバーセキュリティが位置づけられています。今年度からその確認事項(※1)に、「サイバー攻撃対応のための事業継続計画(BCP)の策定」が追加されました。
今年2月頃に全国の病院を対象に実施された調査(※2)では、サイバー攻撃等に備えたBCPを策定している病院は27%(前年は23%)、500床を超える大病院でも44%(前年45%)と半数を切り、進んでいるとはいえない状況です。
今回、立入検査の確認項目に追加されましたが、このベースとなる厚生労働省のガイドライン(※3)は、その対象を病院に限らず、一般診療所や歯科診療所、薬局も含んでいることから、規模にかかわらずサイバー攻撃に備えたBCPを今年度中に策定することが求められていることが分かります。
過去のサイバー攻撃では、被害範囲の特定ができなかったり、原因究明に時間を要したり等の理由で、被害が拡大・長期化しています。「どのように防ぐか」だけでなく「発生時にどのように対応するか」の視点も加えて、平時から備えておくことが大切になります。
BCPには、サイバー攻撃を受けた際にどのように医療サービスを継続するのか、そのための方針や基準、方法をまとめます。再発防止も含めた流れを次の5段階に分類し、段階ごとに対応を講じることが推奨されています。
|
① 平時 ➡ ② 検知 ➡ ③ 初動対応 ➡ ④ 復旧処理 ➡ ⑤ 事後対応
|
どの段階においても、システムベンダーや院内のシステム管理担当者を中心に対応していくことになりますが、被害を最小限に抑え、いち早く診療を再開・継続するには、やはり要所要所での経営判断が欠かせません。例えば「③ 初動対応」では、サイバー攻撃の兆候が認められた後、医療情報システムの使用中止等を指示する等の経営判断が、適時・適切にできるかどうかがカギとなります。また、診療を継続するためには、紙カルテの運用や、代替利用できるサーバや端末、プリンタ等の印刷の準備等、現行システムから離れた備えも必要となります。
BCPの策定にあたり、厚生労働省より確認表や手引き、土台として活用できるひな形(※4)も提供されていました。詳しくは、以下の厚生労働省サイトでご確認ください。
[参考]
厚生労働省
- ※1「医療法第25条第1項に基づく立入検査に係るチェックリスト(2024年度版)」
「薬機法に基づく立入検査に係るチェックリスト(2024年度版)」 - ※2「病院における医療情報システムのサイバーセキュリティ対策に係る調査」
- ※3「医療情報システムの安全管理に関するガイドライン 第6.0版(概説編)」
- ※4「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」
本情報の転載および著作権法に定められた条件以外の複製等を禁じます。
