3省2ガイドライン対応チェックリスト ― 医療機関が今すぐ取り組むべきセキュリティ対策20項目
3省2ガイドラインの基礎知識を踏まえ、本記事では医療機関が今すぐ取り組むべきセキュリティ対策をチェックリスト形式で整理します。
厚生労働省が公開している「医療機関におけるサイバーセキュリティ対策チェックリスト」の内容を参考に、IT専任者がいない中小病院・クリニックでも実施しやすい形に再構成しました。
【体制・規程】組織としての備え
✅ 1. 医療情報システムの管理責任者を明確にしている
ガイドラインでは、医療情報システムの安全管理について「誰が責任者か」を明確にすることが求められています。院長や事務長が兼任する場合でも、役割と責任を文書化しておきましょう。
✅ 2. 情報セキュリティに関する基本方針を策定している
「患者情報をどのように守るか」という基本方針(情報セキュリティポリシー)を策定し、全職員に周知する必要があります。IPAの「SECURITY ACTION」宣言も、第一歩として有効です。
✅ 3. インシデント発生時の対応手順を定めている
ランサムウェア感染や情報漏洩が発生した場合の初動対応手順を文書化していますか。「誰に連絡するか」「システムを停止する判断基準は何か」「紙運用への切り替え手順」などを事前に決めておくことが重要です。
✅ 4. 定期的にセキュリティ研修を実施している
職員向けのセキュリティ教育を年1回以上実施します。特にフィッシングメールの見分け方、USBメモリの取り扱い、パスワード管理の基本は必須のテーマです。
✅ 5. ベンダーとの責任分界を契約書・SLAで明確にしている
電子カルテベンダーやクラウドサービス事業者との間で、セキュリティに関する責任範囲を契約書またはSLA(サービスレベル合意書)で明確にしましょう。「ベンダー任せ」は最大のリスクです。
【アクセス管理】誰が何にアクセスできるか
✅ 6. 利用者ごとに個別のIDを発行している
共有ID(「受付用」「外来用」など)ではなく、職員一人ひとりに個別のIDを発行します。誰がいつ何をしたかを追跡できるようにするための基本です。
✅ 7. パスワードポリシーを設定・運用している
最低でも10文字以上、英数字・記号の混在を推奨するパスワードポリシーを運用しましょう。初期パスワードの変更強制、定期的な変更は不要(NISTの最新推奨に基づく)ですが、漏洩が疑われる場合の即時変更ルールは必要です。
✅ 8. 多要素認証(MFA)の導入計画がある
第6.0版では、令和9年度(2027年)時点で稼働する医療情報システムへの多要素認証導入が求められています。ICカード+パスワード、生体認証+パスワードなど、複数の認証要素を組み合わせる方式を計画しましょう。
✅ 9. 退職者のアカウントを即時削除する運用がある
退職・異動時にアカウントを即日で無効化するフローを整備します。退職者のアカウントが残っていると、不正アクセスの温床になります。
✅ 10. アクセス権限を最小権限の原則で管理している
「職種や役割に必要な範囲のみ」のアクセス権を付与します。受付スタッフに全患者のカルテ閲覧権限を与えていないか、管理者権限を複数人が共有していないかを確認しましょう。
【ネットワーク・技術的対策】侵入を防ぐ仕組み
✅ 11. ファイアウォール・UTMを導入している
院内ネットワークとインターネットの境界にファイアウォールまたはUTM(統合脅威管理)を設置し、不正な通信をブロックします。設置後の定期的なファームウェア更新も重要です。
✅ 12. VPN装置のファームウェアを最新に保っている
VPN装置の脆弱性を突いた攻撃が、医療機関へのランサムウェア感染の主要な侵入経路です。VPN装置のファームウェアは常に最新の状態に保ちましょう。
✅ 13. ウイルス対策ソフトを全端末に導入し、定義ファイルを自動更新している
すべてのPC・サーバーにウイルス対策ソフトを導入し、パターンファイルの自動更新を有効にします。Windows Defenderでも有効化されていれば最低限の対応になります。
✅ 14. OSとソフトウェアのセキュリティアップデートを定期的に適用している
Windows Update、macOSアップデート、各種ソフトウェアのセキュリティパッチを定期的に適用します。サポートが終了したOS(Windows 10など)を使い続けるのは極めて危険です。
✅ 15. ネットワークのセグメント分離を行っている
電子カルテの接続されたネットワークと、インターネット接続可能な事務系ネットワーク、医療機器のネットワークを分離します。万が一、事務系で感染が発生しても、電子カルテ系に被害が及ばないようにします。
【データ保護・バックアップ】守り・備えの対策
✅ 16. 定期バックアップを実施し、オフライン保管も行っている
電子カルテデータのバックアップを定期的に取得し、少なくとも1世代はオフライン(ネットワークから切り離した状態)で保管します。ランサムウェアはオンラインのバックアップも暗号化するため、オフライン保管が不可欠です。
✅ 17. バックアップからの復旧テストを実施している
バックアップを取っていても、復旧できなければ意味がありません。年に1回以上、実際にバックアップからデータを復元するテストを行い、手順と所要時間を確認しましょう。
✅ 18. 端末のデータ暗号化を実施している
ノートPCや外部記録媒体の紛失・盗難に備えて、BitLockerやFileVaultなどのディスク暗号化を有効にします。USBメモリの利用を制限するルールも合わせて整備しましょう。
【BCP・監査】有事への備え
✅ 19. サイバー攻撃を想定したBCPを策定している
自然災害だけでなく、ランサムウェア攻撃によるシステム停止を想定したBCP(事業継続計画)を策定します。紙カルテへの一時的な切り替え手順、患者への連絡方法、復旧の優先順位を事前に決めておきます。
✅ 20. 監査ログを取得・保管している
医療情報システムへのアクセスログ、操作ログを取得・保管します。「誰が・いつ・何をしたか」を追跡できる体制は、インシデント対応の基本であり、ガイドラインでも強く求められています。
対応できていない項目が多い場合は
20項目のうち、半数以上が未対応であれば、組織的な取り組みが必要です。IT専任者がいない医療機関では、すべてを自前で対応することは現実的ではありません。
外部のIT運用代行サービスを活用することで、ガイドライン対応に必要な体制を効率的に構築できます。情シス365では、医療機関向けにセキュリティポリシーの策定からアカウント管理、ログ監視、インシデント対応まで、ワンストップで支援しています。
まずは60分無料相談で、自院の対応状況についてご相談ください。