2025/03/25ガバナンス

『小規模医療機関における医療情報ガイドライン準拠における状況分析と課題』

トップ
インサイト
『小規模医療機関における医療情報ガイドライン準拠における状況分析と課題』

執筆：CISO事業部　櫛間浩幹
監修：CISO事業部　吉田卓史

厚生労働省より発布された『医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）』について、実際の医療機関における医療情報システムの利用状況やガイドラインに対する反応、課題観を整理したうえで各医療機関並びにサポートを提供する事業者が共通の認識として把握が必要な点を記事にまとめます。

■はじめに

令和5年5月に厚生労働省より発布された『医療情報システムの安全管理に関するガイドライン　第6.0版』への準拠対応に伴い、医療機関、特にクリニックをはじめとする小規模医療機関において様々な課題が散見されます。
理由として、施設内に専門知識のある担当者が不在であること挙げられます。
こうした専任の担当者のいない医療機関におけるICT機器サービス提供の知見を活かし、以下に医療機関の現状や課題点を纏め、当該施設の経営者や医療従事者並びに医療情報機器取扱い事業者がガイドライン準拠に際して必要な対策の例を紹介します。

■ガイドラインについて

『医療情報システムの安全管理に関するガイドライン　第6.0版』は令和5年5月に厚生労働省より発布されました。これは医療機関における医療情報システムの運用や管理について、昨今被害が多発しているランサムウエア等をはじめとしたサイバー攻撃への影響を鑑みて医療機関や事業者に求められる安全管理措置の内容が見直されたものです。［1］

本ガイドラインはそれぞれ「概説編」、「経営管理編」、「企画管理編」、「システム運用編」に分かれています。各文書については様々な事業者や公的機関より解説やまとめ記事等が発表されておりますので、以下では概要を記載します。

「概説編」ではガイドライン全体を通して背景や、定義、考え方、またそれぞれの編において誰を対象としているか、などの前提事項が示されています。

「経営管理編」においては医療機関の経営層を対象とした内容、「企画管理編」では医療情報システムの検討や導入等を管理している担当層に向けた内容、「システム運用編」では各医療情報システムの運用や保守等を管理している事業者向け、となっています。

■小規模医療機関の現状

「医療情報システム」とは、『厚生労働省　医療情報システムを安全に管理するために　第2.2版　（令和4年3月）』にて、以下の通り定義されています。

『医療機関等のレセプト作成用のコンピュータ（レセコン）、電子カルテ、オーダリングシステム等の医療事務や診療を支援するシステムだけでなく、何らかの形で患者の情報を保有するコンピュータ、遠隔で患者の情報を閲覧・取得するコンピュータや携帯端末等も、範疇として想定される。また、患者情報の通信が行われる院内・院外ネットワークも含む』［2］

上記定義より、実際の現場においては、診察室に設置しているパソコン・サーバ・ノートPC、検査システム用の端末、受付に設置している端末やネットワーク機器等、少なくとも10台以上は通常の医療業務を遂行する上で施設に実装されている必要不可欠な設備が含まれています。

また、これら医療情報システム、並びにそれらを操作するための機器は複数の事業者によって導入・運用されています。

■ガイドライン内容で着目すべき点と対応

ガイドラインの準拠に際して、その内容を把握することがまずは最初のステップといえます。しかし、すべてに目を通すとなるとそれなりのボリュームになります。そこで、今回は実際の対応を見据えてガイドラインの一部を紹介します。

以下に示す内容は医療機関と関連事業者の両者の足並みを揃えて内容を把握し、また両社の状況や方針に合わせてステップやドキュメント内容を見直すことが必要です。

1. 医療情報システム・機器並びに当該施設の環境把握
2. ①の内容、並びに各事業者（関係者）の体制把握
3. ①・②の記録並びに定期的な更新とセキュリティ・BCP対策

1. 医療情報システム・機器並びに当該施設の環境把握

まずは当該施設の環境の把握することが重要です。セキュリティ対策が必要な範囲や対象はどの端末になるのか、等を検討する際に必要になるためです。上記［小規模医療機関の現状］のように、「いつ」「どこに」「何が」あるのか、表を作成する、等で資産の状況を把握する必要があります。併せて「機器の用途」や「使用するシステム（レセプト、電子カルテ、検査システム等）」も確認して記載しておくとよいでしょう。さらに、その端末を導入した事業者、メンテナンスを依頼する事業者とその連絡先等も必要に応じて記載しておくとより実用に即した運用が可能です。

（例）

2. 各端末・システムへのアクセス権限の把握

上記端末に「誰が」「どの端末」または「どのシステム」にアクセスが可能なのかを記録する必要があります。インシデント発生時の原因や影響範囲の特定を速やかに実施する際に活用するためです。

（例）

上記1. と2. に関しては定期的に情報の更新を行うことも重要です。端末の追加や入れ替え、スタッフの異動等に伴う使用者の変更などに合わせて見直しを行い、その時々の施設や医療情報端末の状況を正確に反映した記録が必要です。

3. 各事業者とBCP対策、セキュリティ対策について協議

それぞれの資産やシステムについて、導入事業者とBCP対策とセキュリティ対策について相談します。BCP対策とは、「非常事態が発生した際に事業資産の被害を最小限に抑えつつ、事業を復旧・継続していくための計画や対策」のことです。［3］
BCP対策については以下の記事でも詳しく解説しておりますので合わせて是非ご確認いただければと思います。［4］

サイバー攻撃のみならず、台風等災害・天災での被害発生時に通常の業務を復旧させるための対応を日ごろから備えておくことが重要です。

上記内容と合わせて「こういう時はこの事業者に問い合わせる」という共通認識を両社間で確認、記録しておくことが重要です。

■まとめ

ガイドライン6.0版の変更点としてバックアップの整備やサイバーセキュリティ対策が大きく話題となりました。小規模な医療機関においては、医療情報資産やシステムの導入事業者が必ずしも一事業者で完結しません。開業当時からネットワークの敷設や増設、端末やシステムの導入・破棄を繰り返すうち、サポート事業者やその責任範囲についても複雑化し、担当者不在のために「何から手を付けて良いかわからない」という状況に陥りがちです。こうした医療機関に関わる事業者も含めたステークホルダーが一丸となって対応することが必須となります。

今回記載した内容は、現在厚生労働省から各医療機関へ対応を求められている「医療機関におけるサイバーセキュリティ対策チェックリスト（令和6年5月　厚生労働省）」の項目の一部に対応する内容にもなっています。［5］

必要な対策を日々の業務を阻害することなく、医療機関の負担を抑えつつも確実に遂行することが重要です。

【プロフィール】

文責：櫛間浩幹　（くしまひろき）

医療情報ガイドライン準拠サービス企画・テストマーケティングを経験。製造業向けアプライアンスセキュリティ製品の立ち上げやICT製品保守体制構築等の知見あり。2025年にアイディルートコンサルティング株式会社に入社し、医療向けのセキュリティ製品提案活動に携わる。

監修：吉田卓史（よしだたくし）

20年間にわたり、一貫してサイバーセキュリティに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。