業種別 2026年3月9日

医療機関のIT環境構築ガイド｜3省2ガイドラインを踏まえたセキュリティ構成

医療機関に求められるIT環境とは

医療機関のIT環境は、患者の個人情報・診療情報という極めてセンシティブなデータを扱うため、一般企業以上に厳格なセキュリティが求められます。特に、厚生労働省・経済産業省・総務省が策定した「3省2ガイドライン」への準拠は、医療機関のIT管理者にとって避けて通れないテーマです。

3省2ガイドラインは、医療情報を電子的に保存・管理・交換する際のセキュリティ要件を定めたもので、「医療情報システムの安全管理に関するガイドライン（厚労省）」と「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン（経産省・総務省）」の2本で構成されています。

医療機関がクラウドサービス（M365、GWS、電子カルテクラウド版等）を利用する場合、このガイドラインに準拠した環境構築が必要です。

医療情報システムへのアクセスには、多要素認証（MFA）の導入が強く推奨されています。特に電子カルテシステムやPACS（医用画像管理システム）など、患者情報に直接アクセスするシステムではMFAを必須としてください。

ICカード＋PINコード、または生体認証＋パスワードの組み合わせが医療現場では一般的です。スマートフォンを持ち込めない病棟では、ICカードベースの認証が適しています。

診療系ネットワーク（電子カルテ、医療機器）と情報系ネットワーク（メール、インターネット接続）を物理的または論理的に分離することが求められます。これにより、インターネット経由のマルウェアが診療系システムに到達するリスクを低減できます。

患者情報を含むデータは、保存時（at rest）と通信時（in transit）の両方で暗号化が必要です。M365のBitLocker（デバイス暗号化）やMicrosoft Purviewの秘密度ラベル（ファイル暗号化）を活用してください。

ランサムウェア攻撃が医療機関を標的にするケースが増加しています。電子カルテデータのオフラインバックアップ（ネットワークから隔離された場所での保管）と、業務継続計画（BCP）の策定が必須です。復旧テストを年1回以上実施してください。

誰がいつどの患者情報にアクセスしたかを記録する監査ログの管理が求められます。ログの保存期間は最低5年が目安です。不正アクセスの検知と、監査対応のためにログ管理の仕組みを整備してください。

医療機関がM365やGWSなどのクラウドサービスを利用する場合、サービス事業者がガイドラインに準拠した安全管理措置を講じているかを確認する必要があります。MicrosoftやGoogleはガイドライン対応の資料を公開していますが、設定は医療機関側の責任で行う必要があります。

特に、データの保管場所（日本国内のリージョンか）、データの暗号化方式、アクセス制御の設定、監査ログの取得・保存について確認してください。

医療機関のIT環境は、一般企業以上に厳格なセキュリティとコンプライアンス対応が求められます。3省2ガイドラインを「面倒な規制」ではなく「患者を守るための指針」として捉え、段階的に対応を進めてください。

情シス365では、医療機関のIT環境構築・セキュリティ対策を含む情シス代行サービスを提供しています。ガイドライン対応についてもお気軽にご相談ください。