まだ間に合う！「医療情報システムの安全管理に関するガイドライン」対策を効果的に実施するには

2023年5月に、厚生労働省は「医療情報システムの安全管理に関するガイドライン 第6.0版」を策定しました。

昨今のサイバー攻撃が医療機関や薬局の診療業務などに与える影響は大きく、サイバーセキュリティ対策の見直しは急務です。しかし、具体的に何から始めればいいか分からない方もいるのではないでしょうか。

そんなお悩みがある医療機関や薬局の担当者をサポートするために、ラックでは「医療情報システムの安全管理に関するガイドライン」適合支援サービスを提供しています。

この記事では、医療機関や薬局のサイバーセキュリティ対策を強化する本サービスについて解説します。最適なスコープを設定し、短期間で効果的な支援を実現するので、2024年度（令和6年度）までに求められる対策も、まだ間に合います！

「医療情報システムの安全管理に関するガイドライン」とは

医療情報システムの安全管理と個人情報保護を目的とした「3省2ガイドライン」があります。

策定機関	ガイドライン名	対象
厚生労働省	医療情報システムの安全管理に関するガイドライン　第6.0版※1	病院、助産所、薬局、介護事業者等の医療機関
総務省、経済産業省	医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1版※2	医療機関等との契約等に基づいて医療情報システム等を提供する事業者 医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者 患者等の指示に基づいて医療機関等から医療情報を受領する事業者

厚生労働省
ガイドライン名	医療情報システムの安全管理に関するガイドライン　第6.0版※1
対象	病院、助産所、薬局、介護事業者等の医療機関
総務省、経済産業省
ガイドライン名	医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1版※2
対象	医療機関等との契約等に基づいて医療情報システム等を提供する事業者 医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者 患者等の指示に基づいて医療機関等から医療情報を受領する事業者

※1 医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）｜厚生労働省

※2 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン（METI/経済産業省）

このうち、「医療情報システムの安全管理に関するガイドライン」は、医療情報システムの安全管理や、民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の法令等への適切な対応を行うため、技術的及び運用管理上の観点から対策を示したものです。

第6.0版の改定ポイント

医療情報システムの安全管理に関するガイドラインは、2005年（平成17年）3月に初版が策定され、最新版である第6.0版は2023年（令和5年）5月に改定されました。第6.0版の主な改定ポイントは以下の通りです。

①ガイドラインの全体構成

システム運用担当者だけでなく、経営層や企画管理者もガイドラインの内容を理解し、医療情報システムの安全管理の実効性を高める必要があります。

第6.0版では、意思決定・方針策定・戦略立案（経営管理編/Governance）、企画管理・システム運営（企画管理編/Management）、管理方法・運用手段（システム運用編/Control）の3つの視点で整理されています。

②外部委託・外部サービスの利用

クラウドサービスの特徴を踏まえたリスクや対策の考え方や、医療機関等のシステム類型別に責任分界の考え方が整理されました。クラウドサービス利用時における責任分界やサービス利用時のセキュリティ対策が、医療機関の規模に合わせて策定されています。

③ネットワーク境界防御型思考/ゼロトラストネットワーク型思考

境界防御型思考だけでなく、ゼロトラストの考え方を取り入れることの有効性と対応方法を示しています。内部ネットワークも外部からの侵入リスクが高まっているため、ゼロトラストを採用することで対策が可能です。

④災害、サイバー攻撃、システム障害等の非常時に対する具体的な対応

災害、サイバー攻撃、システム障害など、非常時の場面ごとに対応内容が変わるため、非常時に合わせて適切な対応を実施することを示しています。事業継続計画（BCP）への対応やバックアップ等の具体的な対策が挙げられています。

⑤新技術、制度・規格変更への対応

オンラインによる本人認証（eKYC）を活用する際の留意点がまとまっています。

ラックが提案するサイバーセキュリティ対策

ガイドライン全体を一から確認し、万全の対策を講じることが理想的ですが、これには多大な時間と労力がかかります。

そこで、厚生労働省では、医療機関や薬局が優先して取り組むべき事項をまとめた「サイバーセキュリティ対策チェックリスト」を提供しています。まずは、これに掲載されている項目を元に対策状況を把握し、必要な対応を行うことを推奨します。

特に、「サイバーセキュリティ対策チェックリスト」は、2024年度（令和6年度）中に全項目を満たす必要があります。医療法第25条第1項に基づく立入検査では、このチェックリストを用いてサイバーセキュリティ対策の確認が行われるため、対策は必須です。

しかし、チェックリストを精査する時間やリソースに不安を感じている方も少なくないでしょう。そこでラックでは、「医療情報システムの安全管理に関するガイドライン」適合支援サービスを提供しています。IT環境における豊富な課題解決の実績とサイバーセキュリティの知見を基に、独自のヒアリングシートで課題分析を行い、最適な対策案を策定します。

また、お客様のご要望に応じて、以下の支援も可能です。

• 是正支援：規程の見直し/作成、システム改善の支援
• 教育・訓練：実際のインシデント発生に備えたスタッフの教育や訓練の実施・評価
• 改善策実行後の支援：改善策実行後の効果を評価し、継続的な改善と最適化を図るための追加アクションプラン策定

特に、「サイバー攻撃を想定した事業継続計画（BCP）の策定」は、IT-BCP規程の策定だけでなく、定期的な訓練の実施も推奨されており、どのように対応すればよいか困っている声をよく聞きます。ラックでは、IT-BCP策定支援も提供しており、規程の策定や訓練の支援も包括的にサポートします。

さいごに

「医療情報システムの安全管理に関するガイドライン」適合支援サービスには、サイバーセキュリティに強みを持つラックの幅広い対応力と豊富な実績が詰め込まれています。

医療機関や薬局向けのサイバーセキュリティ対策チェックリストに特化したサービスとして、最適なスコープを設定し、短期間かつコストパフォーマンスに優れた支援を行います。さらに、特定のチェック項目に絞ったサポートなど、お客様のご要望に合わせて柔軟に対応します。

2024年度（令和6年度）中の対策が必須となっているため、限られた時間で効果的な対策を導入したい方や、どこから始めればよいか分からない方は、ぜひ資料請求やお問い合わせを通じて本サービスをご利用ください。

プロフィール