セキュリティ

医療機関のIT環境整備ガイド ― 電子カルテ・クラウド時代に求められるセキュリティ運用

#医療機関#3省2ガイドライン#セキュリティ#Microsoft 365#ひとり情シス
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

電子カルテのクラウド化、オンライン資格確認の義務化、電子処方箋の導入 ― 医療機関のIT環境は急速にデジタル化しています。しかし、IT専任者のいない中小病院やクリニックにとって、セキュリティを確保しながらIT環境を整備するのは容易ではありません。

本記事では、3省2ガイドラインの要件を踏まえながら、医療機関が実践すべきIT環境整備のポイントを解説します。

医療機関のIT環境が抱える典型的な課題

共有IDの常態化

「受付」「外来」「病棟」といった場所ごとの共有IDで電子カルテにログインしているケースが少なくありません。これでは、誰がいつどの患者データにアクセスしたかを追跡できず、ガイドラインの要件を満たせません。

ネットワークの未分離

電子カルテの端末とインターネット接続可能な事務用PCが同じネットワーク上にある場合、事務用PCがマルウェアに感染すると電子カルテ系にも被害が波及します。

バックアップの不備

「バックアップは取っている」と思っていても、オンラインのNASやクラウドストレージのみという場合、ランサムウェアによって同時に暗号化されるリスクがあります。

パッチ適用の遅れ

「電子カルテベンダーの検証が済んでいないからOSのアップデートができない」という理由で、セキュリティパッチの適用が何ヶ月も遅れているケースがあります。

IT環境整備の5つの重点領域

1. アカウント管理 ― 「誰が」を明確にする

目標: 職員一人ひとりに個別IDを発行し、適切な権限管理を行う

個別IDの発行は3省2ガイドライン対応の最も基本的な要件です。Microsoft 365やGoogle Workspaceを導入している場合は、これらのクラウドIDを電子カルテや院内システムのシングルサインオン(SSO)基盤として活用できます。

具体的な実施事項は以下のとおりです。

  • 全職員への個別ID発行(共有IDの廃止)
  • 入退職時のアカウント作成・削除フローの整備(退職日当日に無効化)
  • 職種別の権限テンプレート作成(医師・看護師・事務・管理者)
  • 管理者アカウントと通常アカウントの分離
  • 特権アカウントの使用ログ取得

2. 多要素認証(MFA) ― 2027年の義務化に備える

目標: 令和9年度までに医療情報システムへの多要素認証を導入する

多要素認証とは、「知識(パスワード)」「所持(ICカード・スマートフォン)」「生体(指紋・顔)」のうち2つ以上を組み合わせる認証方式です。

医療機関に適した多要素認証の選択肢としては次のものがあります。

  • ICカード+PIN: 職員証として使用しているICカードを認証にも利用。導入コストが比較的低い
  • 顔認証+パスワード: 手袋を着用する場面が多い医療現場に適している。Windows Helloの顔認証を活用する方法もある
  • Microsoft Entra ID + Authenticatorアプリ: Microsoft 365を導入済みの医療機関であれば、追加コストなしでMFAを有効化できる

まずはMicrosoft 365やGoogle Workspaceへのログインにおいてのみでも多要素認証を有効化し、段階的に電子カルテや他のシステムへ拡大するアプローチが現実的です。

3. ネットワーク設計 ― セグメント分離で被害を封じ込める

目標: 電子カルテ系・事務系・医療機器系のネットワークを分離する

ランサムウェアの被害を最小化するために、ネットワークのセグメント分離は極めて重要です。

推奨するネットワーク構成は以下のとおりです。

  • 電子カルテ系セグメント: インターネットから隔離。電子カルテサーバー、端末、医事会計システムを配置
  • 事務系セグメント: インターネット接続可能。メール、Web、事務処理用PC、プリンターを配置
  • 医療機器系セグメント: 検査機器、放射線機器、生体モニターなど。可能な限り他セグメントから隔離
  • 来客・患者用Wi-Fi: 完全に院内ネットワークから分離したゲスト用ネットワーク

セグメント間の通信はファイアウォールやVLANで制御し、必要最小限の通信のみを許可します。

4. バックアップ ― ランサムウェアに備える「3-2-1ルール」

目標: 3-2-1ルールに基づくバックアップ体制を構築する

3-2-1ルールとは、「3つ以上のコピーを、2種類以上の媒体に、1つはオフサイト(またはオフライン)で保管する」という原則です。

医療機関のバックアップで特に注意すべき点は以下のとおりです。

  • オフラインバックアップの確保: ランサムウェアはネットワーク上のバックアップも暗号化します。外付けHDDやテープなど、物理的にネットワークから切り離して保管する世代を必ず確保する
  • 復旧テストの定期実施: 年に1回以上、実際にバックアップからのリストアテストを実施し、復旧手順と所要時間を確認する
  • 電子カルテの設定情報もバックアップ対象にする: データだけでなく、電子カルテの環境設定、マスタデータ、接続設定なども含める
  • 保管期間の設定: 医療法における診療録の保管義務(5年)を考慮し、適切な保管期間を設定する

5. ログ監視 ― 異常を早期に検知する

目標: 重要システムのアクセスログを取得・保管し、定期的に確認する

「侵入されたことに気づかない」のが最も危険な状態です。以下のログを取得・保管しましょう。

  • 電子カルテのアクセスログ(誰が・いつ・どの患者データにアクセスしたか)
  • Active Directory / Entra IDの認証ログ(ログイン成功・失敗)
  • VPN装置の接続ログ
  • ファイアウォール / UTMの通信ログ
  • サーバーへのリモートアクセスログ

ログは最低でも1年以上保管し、不審なアクセス(深夜帯の大量ログイン失敗、通常と異なる端末からのアクセスなど)を検知できる仕組みを整備します。

IT環境整備のロードマップ

一度にすべてを対応するのは困難です。以下のフェーズで段階的に進めましょう。

フェーズ1(1〜3ヶ月): 緊急度の高い対策

  • VPN装置のファームウェア更新
  • 共有IDの棚卸しと個別ID発行計画の策定
  • オフラインバックアップの開始
  • セキュリティポリシーの策定

フェーズ2(3〜6ヶ月): 基盤の整備

  • ネットワークセグメント分離の実施
  • Microsoft 365 / Google WorkspaceへのMFA導入
  • アカウント管理フローの整備(入退職対応)
  • ログ取得・保管の開始

フェーズ3(6〜12ヶ月): 高度化・定着

  • 電子カルテ系への多要素認証拡大
  • インシデント対応訓練の実施
  • BCP(サイバー攻撃対応版)の策定
  • 職員向けセキュリティ研修の定期実施

IT専任者がいない医療機関の現実的な選択肢

上記のロードマップを自院のリソースだけで実行するのは、IT専任者のいない医療機関には負荷が大きすぎます。現実的な選択肢として、外部のIT運用代行サービスの活用があります。

情シス365では、医療機関向けに以下の支援を提供しています。

  • セキュリティポリシー策定支援: 3省2ガイドラインの要件を踏まえた情報セキュリティポリシーの策定
  • アカウント管理・権限設計: Microsoft 365 / Entra IDを活用した個別ID発行、権限管理、MFA導入
  • ネットワーク設計: セグメント分離、VPN設定、ファイアウォール管理
  • ログ監視・インシデント対応: 不審なアクセスの検知、インシデント発生時の初動対応
  • ヘルプデスク: 職員からのIT問い合わせ対応

月額18万円〜の定額制で、プランに応じた対応時間内でこれらの業務を包括的に支援します。

医療機関・クリニック向けITサポートの詳細はこちら →

まずは60分無料相談で、貴院のIT環境の課題をお聞かせください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談