医療機関等のサイバーセキュリティ義務化

医療法施行規則の改正により、4 月から、病院、診療所または助産所の管理者に
対し、サイバーセキュリティ対策が義務付けられています。規模を問わず、すべての診療所等が対象です。どのような対応が求められるのでしょうか？
具体的には、次の義務や責任を果たせる体制を整えることが求められます。

① 医療情報の取扱いやシステムの安全管理に関する法令上の遵守事項や義務など

② 安全管理上の説明責任や管理責任など、通常時や非常時における責任
③ 医療情報や医療情報システムに関して委託や第三者提供を行う場合の責任
順に見ていきましょう。

① 法令上の遵守事項や義務
個人情報保護法の他、医師法等の医療関係法令を遵守する必要があります。
秘密漏洩については刑法等、診療契約等については民法上の責任も生じます。
さらに、文書等の電子保存や電子署名等について規定する法律にも留意しなければな
りません。

② 通常時や非常時における責任
通常時は、説明責任や管理責任、定期的な見直し、改善を行う必要があります。
情報漏洩やシステム障害等の非常時には、説明責任や善後策を講じます。

③ 委託や第三者提供における責任
利用する医療情報システム・サービスの導入や保守などについて、委託先事業者との契
約にて、委託する内容や非常時の役割分担、責任の所在を明確にし、適切な協働体制を
構築することが求められます。
大きな組織においては、これらの責任を組織内で分担することとなりますが、診療所や歯科
診療所、薬局などでは、情報管理の専任スタッフを置かず、院長や事務長等がその役割の大半
を担っていることが少なくありません。この場合は、緊急時には誰が代行するのかなど、属人
的な対策も必要となります。
2023 年 4 月現在、ガイドライン※の策定が進められています。