セキュリティ

3省2ガイドラインとは?医療機関のIT担当者が知っておくべき基礎知識

#医療機関#3省2ガイドライン#セキュリティ#コンプライアンス#経営者向け
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

病院やクリニックで電子カルテやクラウドサービスを使うなら、避けて通れないのが「3省2ガイドライン」です。しかし、ガイドラインの原文は合計数百ページにおよび、IT専任者がいない医療機関にとって全体像を把握するだけでも大きな負担です。

本記事では、3省2ガイドラインの基本構造と目的、医療機関がまず押さえるべきポイントをわかりやすく整理します。

3省2ガイドラインの全体像

3省2ガイドラインとは、厚生労働省・経済産業省・総務省の3つの省庁が策定した、2つのガイドラインの総称です。

① 医療情報システムの安全管理に関するガイドライン(厚労省)

対象: 病院・診療所・薬局・介護事業者など、医療情報を取り扱う医療機関

最新版: 第6.0版(令和5年5月公開)

医療機関が電子カルテなどの医療情報システムを安全に運用するための指針です。個人情報保護法、医療法、e-文書法などに基づき、患者データの管理方法からサイバーセキュリティ対策まで幅広くカバーしています。

第6.0版では構成が大きく見直され、以下の4編に分かれました。

  • 概説編: ガイドライン全体の目的と背景
  • 経営管理編: 経営層が理解すべきリスクと責任
  • 企画管理編: 組織体制・規程整備・安全管理の統制方法
  • システム運用編: 現場での技術的な実装・運用の実務

② 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(経産省・総務省)

対象: 医療機関にシステムやクラウドサービスを提供するベンダー・事業者

最新版: 第2.0版(令和7年3月公開)

電子カルテベンダー、クラウドサービス事業者、データセンター事業者などが、医療情報を安全に取り扱うためのリスクマネジメントプロセスを定めています。

なぜ医療機関にとって重要なのか

法的な裏付けがある

3省2ガイドラインは法律そのものではありませんが、医療法施行規則第14条では医療機関に対して「サイバーセキュリティを確保するために必要な措置を講じなければならない」と定められています。ガイドラインはこの義務を具体化した実務指針として位置づけられており、事実上の遵守が求められます。

立入検査でチェックされる

厚労省は「医療機関におけるサイバーセキュリティ対策チェックリスト」を公開しており、医療機関の立入検査時にこのチェックリストが参照されます。ガイドライン未対応は、検査での指摘事項になりえます。

医療機関へのサイバー攻撃が急増している

近年、病院を標的としたランサムウェア攻撃が国内でも相次いでいます。電子カルテが暗号化されて診療が停止するケースや、患者データが漏洩するケースが報告されており、対策は待ったなしの状況です。

第6.0版の主な改定ポイント

ゼロトラスト思考の導入

従来の境界防御型(ファイアウォールの内側は安全)に加えて、ゼロトラスト型の考え方が取り入れられました。院内ネットワークであっても「すべてのアクセスを検証する」という原則が強調されています。

クラウドサービス利用時の責任分界

電子カルテのクラウド化が進む中、医療機関とクラウドベンダーの間で「どこまでが誰の責任か」を明確にすることが求められるようになりました。

多要素認証(MFA)の義務化

令和9年度(2027年)時点で稼働している医療情報システムについて、原則として多要素認証の導入が求められています。従来のIDとパスワードだけでの認証は、今後認められなくなる方向です。

サイバーセキュリティ対策チェックリストの整備

厚労省が提供するチェックリストにより、医療機関が自院の対策状況を体系的に点検できるようになりました。「医療機関確認用」と「事業者確認用」の2種類が用意されています。

医療機関が直面しやすい課題

IT専任者がいない

200床未満の中小病院やクリニックでは、IT専任者を置いていないケースがほとんどです。事務長や看護師長がIT管理を兼務しており、ガイドライン対応に割けるリソースがありません。

ベンダーに「お任せ」になっている

電子カルテベンダーにセキュリティも含めて一任しているケースが多く見られます。しかし、ガイドラインでは医療機関側にも管理責任があると明記されており、ベンダー任せでは不十分です。

予算の確保が難しい

セキュリティ投資は「何も起きない」ことが成果であるため、経営層への説明が困難です。しかし、ランサムウェア被害が発生した場合の復旧コストは数千万〜数億円にのぼるケースもあり、事前の投資は十分に合理的です。

まずやるべき3つのステップ

ステップ1: チェックリストで現状を把握する

厚労省が公開している「医療機関におけるサイバーセキュリティ対策チェックリスト」を使って、自院の現状を把握しましょう。医療機関確認用と事業者確認用があり、ベンダーにも確認用チェックリストの提出を依頼できます。

ステップ2: 経営層の理解を得る

第6.0版で新設された「経営管理編」は、まさに経営層向けの内容です。サイバー攻撃による診療停止リスクや法的責任について、経営層と共有しましょう。

ステップ3: 外部の専門家を活用する

IT専任者がいない医療機関こそ、情シスアウトソーシングの活用が効果的です。ガイドライン対応のための体制づくり、セキュリティポリシーの策定、日常的なIT運用の安定化を、外部の専門チームに任せることができます。

まとめ

3省2ガイドラインは、医療機関にとって「推奨」ではなく「事実上の義務」です。特に第6.0版では、経営層の責任が明確化され、多要素認証やゼロトラスト思考といった具体的な技術要件も加わりました。

IT専任者がいない医療機関にとっては負担が大きいですが、チェックリストの活用、経営層との共有、外部専門家の活用という3つのステップから始めることで、着実にガイドライン対応を進められます。

情シス365では、医療機関向けのIT運用代行・セキュリティ対策支援を提供しています。3省2ガイドラインへの対応でお悩みの方は、医療機関・クリニック向けITサポートの詳細をご覧いただくか、60分無料相談をご活用ください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談