医療機関 年度内に取り組むサイバーセキュリティ対策
医療機関等を狙うサイバー攻撃が増加し、手口も多様化・巧妙化しています。オンライン資格確認や電子処方箋の導入も加わり、より高いレベルのセキュリティ対策が求められる中、厚生労働省はガイドライン※1を改訂しました。
チェックリストの作成が必須
ガイドラインの記載事項のうち、何を優先して取り組むべきかは、チェックリストで把握できます。立入検査時にはこのチェックリストの全項目について、日付(確認日と目標日)や回答等が記入されているかの確認が行われますので、対策が必要です。
同チェックリストは、外部のシステム事業者の利用を想定した2部構成(医療機関用と事業者用)です。それぞれ2023年度用と2024年度用があり、進捗の目安にもなります。医療機関用では、2023年度中に次の事項のすべてについて、対応することを目指します。
2023 年度のチェック項目 医療機関版
□ 医療情報システム安全管理者の設置
□ サーバ、端末 PC、ネットワーク機器の台帳管理
□ リモートメンテナンス(保守)を利用した機器の有無の確認
□ システム事業者に対し、医療情報セキュリティ開示書の提出要請
□利用者の職種・担当業務別の情報区分ごとのアクセス利用権限設定
□不要なアカウントの削除(退職者や使用していないアカウント等)
□アクセスログ管理
□セキュリティパッチ(最新ファームウェアや更新プログラム)の適用
□接続元制限の実施
□インシデント発生時の連絡体制図の策定
さらに2024年度は以下が追加されます。
2024年度の追加チェック項目 医療機関版
□バックグラウンドで動作する不要なソフトウェアやサービスの停止
□インシデント発生時に診療を継続するための備え(必要な情報の検討、データやシステムのバックアップ、復旧手順の確認)
□サイバー攻撃を想定した事業継続計画(BCP)の策定
専門的な知識や経験が必要となる分野です。外部のシステム事業者に相談しながら、早めに対策されることをお勧めします。
※1 「医療情報システムの安全管理に関するガイドライン第 6.0 版(令和 5 年 5 月)」https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
この記事を書いた人
代表 林 正人
1959 年東京生まれ。慶應義塾大学法学部卒業。
会社員時代に出向にて子会社の社長を歴任するも、人事労務関係の苦労を実体験した経験から「社会保険労務士」に。独立後は介護業界をはじめとする福祉と医療分野での人事労務支援と人材育成を専門に活動中。セミナーや講演会は、全国の医療・福祉団体にて年間50 回を超える。「人を大切にする経営学会」会員。趣味は年に一回、家族で行く海外または国内温泉旅行を楽しむ。
会社員時代に出向にて子会社の社長を歴任するも、人事労務関係の苦労を実体験した経験から「社会保険労務士」に。独立後は介護業界をはじめとする福祉と医療分野での人事労務支援と人材育成を専門に活動中。セミナーや講演会は、全国の医療・福祉団体にて年間50 回を超える。「人を大切にする経営学会」会員。趣味は年に一回、家族で行く海外または国内温泉旅行を楽しむ。
