専門家に聞いてみよう!~サイバーセキュリティ対策って、正直どうすればいいの?~
長 幸美
医療介護あれこれ本コラムの内容は、執筆時点での法令等に基づいています。また、本記事に関する個別のお問い合わせは承っておりませんのでご了承ください。
以前にも、ご好評頂いた「専門家に聞いてみよう!」シリーズ。
今回、また、令和7年度の保健所の立入調査で「サーバーセキュリティチェックリスト」が新しく更新され、その内容がかなり本格的で厳しくなっています。一体どうしたらいいかわからない!というご連絡をいただくことがあり、改めて、弊社のICT活用推進課の綾部マネジャーに話しを聞いてみました。
私の質問と綾部マネジャーの回答でご理解いただけると思います。
目次
令和7年度立入調査で求められている「サイバーセキュリティ対策」
最近保健所から「立入調査の案内」が送られてきたのですが・・・「サイバーセキュリティ対策のチェックリスト」というのが入っていてどうしたらいいかわからないのです。
あれ、かなり細かい内容で、診療所レベルで対応するのは厳しいような気がしています。
見ていただけましたか?
はい、クリニックには,
なかなか厳しい内容でしたね。
でも実は、令和7年度から「医療法」の立入調査項目として正式にサイバーセキュリティ対策が入ったんです。つまり、やらなきゃいけないことなんですよ。
でも、院長も「パソコンのことは任せた」って言うだけで、クリニックの中には詳しい人が誰もいらっしゃらないため困っているクリニックが多いのが現状です。
チェックリストを見ても、専門用語があって、何が書いてあるかよく分からないし、クリニックでは言葉を理解するだけでもとても大変だと思うのですが何か対応策はないでしょうか?
確かに、そういう声が実はとても多いのです。
でも、厚生労働省のチェックリストは「一つひとつ完璧にやってください」ではなく、「現状を確認して、これからの対応を考えるためのもの」なんです。そう考えると、どうでしょうか?
対応についての手掛かりとして少し考えやすくなりませんか?
そうですね。
以前も、「専門家に聞いてみよう!」のシリーズでお話ししたように、まずはやれるところから、少しずつ考えていくというのが良いのではないでしょうか?
※以前のコラムを見逃した方は、こちらからご確認くださいませ。
こちらは「医療情報システムの安全管理に関するガイドライン(第6.0版)」にリニューアルが公表
された段階で、インタビューをした記事です。
・医療情報システムの安全管理に関するガイドライン(第6.0版)(R5.6月~R5.7月)
クリニックで今からできるセキュリティ対策(その1)
クリニックで今からできるセキュリティ対策(その2)
クリニックで今からできるセキュリティ対策(その3)
セキュリティ対策チェックリストの活用①
セキュリティ対策チェックリストの活用②
セキュリティ対策のポイント
今回の令和7年度セキュリティ対策チェックリストのポイントは、大きく4つに分かれています。
ポイント①体制構築
まずは、セキュリティの担当者を決めているかどうか、ということからです。
ポイント②システムの管理・運用
ポイントの二つ目は、
・システム機器の管理リストを作っているか、
・パスワードは8文字以上で使い回していないか、
・USBは制限しているか、
・アクセスログを取っているか
などです。
リモートメンテナンスを活用しているか? ということも入っていますよね?
そうですね。これまでのサイバー攻撃の中で、リモートメンテナンスの機器からランサムウエアが入ってきたということもありましたので、リモートメンテナンスやメール等でのやり取りをするかどうか、ということがチェック項目に入っているのだと思います。
「事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出してもらう」というのがありますが、これはどういうことですか?
リモートメンテナンス業者をはじめ、どのようなセキュリティ対策をされているのかを確認していく・・・ということですね。自院だけでセキュリティ対策をしていても、ダメだということです。
過去の事例から言うと、給食事業所(食事提供サービス)からのメール等からのランサムウエア感染もあったため、医療機関としても、サービス事業者のセキュリティ体制を確認しましょう、ということですね。
セキュリティパッチという言葉もありますね。これは何ですか?
セキュリティパッチとは、ソフトウェアやOSのセキュリティ上の欠陥(脆弱性)を修正するためのプログラムのことです。開発元が脆弱性を発見し、それを修正するために提供します。
適用することで、サイバー攻撃からシステムを保護し、データの漏洩や不正アクセスを防ぐことができます。
ポイント③インシデント対応
このインシデント対応というのは、「もしも攻撃を受けたら」の時にどのような対応ができるのか、準備をしていますか?ということです。この為、
・バックアップを取っているか?
・ランサムウェアへの備えがあるか?
・BCP(業務継続計画)を作っているか?
ということを確認されています。
この「BCP」というのは、「サイバーセキュリティ対策のための対応」ということですよね?
クリニックの先生方は、あまりお得意ではないし、事務員もパソコンはさっぱりわからないのですが、どうしたらいいのでしょうか?
いきなり「BCP(業務継続計画)」と聞くとびっくりするかもしれませんが、何かあった時に、診療を継続するための準備・・・と考えるとどうでしょうか?
例えば、電子カルテの場合だと、「紙カルテでの継続診療をする方法」だったり、外部の連絡をメールではない方法で行うということだったり、また、非常時の通報や連絡をどうするかということだったりです。
ポイント④規程の整備
これは、どのような危険があり、診療所がどのような対策をしているのか、また、システムを使用するにあたってのルールを決め、職員にも指導(周知)しているのか?ということを問われています。
・これらのルールを文書化しているか?
・職員に周知しているか?
つまり、診療所にとって、電子カルテが使えない、処方ができないということは、患者さんに迷惑がかかり診療を続けることができない状況になります。
このような事態を防ぐために、いま、出来る備えとして明文化して指導を行うことが何よりも大事だということでしょう。
なるほど・・・そのように説明を受けると、このチェックリストはとても大事なことだと理解できます。とはいえ、クリニックだけでは難しいこともありますね。どうしたらいいのでしょうか?
システムベンダーとの連携
クリニックのシステム業者さんからは、「セキュリティ対策は契約外です」と言われている状況もあるようです。そもそも、外部の専門家に頼む予算もないと困っておられる先生方もいらっしゃいます。このような場合にアドバイスがありますか?
たしかに、システムベンダーと医療機関の間には「認識のギャップ」があることも多いんです。
でもこのチェックリスト、「事業者用のチェックリスト」もあって、システムベンダーにも記入してもらうことが厚労省からも推奨されています。
先ほどの「医療情報セキュリティ開示書(MDS/SDS)」の提供や「セキュリティパッチ」の提供なども項目の中に入っています。
そうなのですね。私達からもお願いしていいのですね!少し安心しました。
もちろん。契約内容にかかわらず、「当院のセキュリティ点検のためにご協力いただけますか?」と伝えてください。真摯に対応してくれる業者さんなら、基本的なことは応じてくれるはずですよ。
セキュリティ対策のはじめの一歩
さて、このセキュリティ対策について、大事なことはわかってきましたが、難しいことが多くて、チェックリストも「出来ていない」ことが多いのですが、どうしたらいいのでしょうか?
厚労省のチェックリストは、「はい」「いいえ」で答えて、「いいえ」の項目には“いつまでにやるか”を書けばOKなんです。未実施でも、「対応中」「準備中」でも大丈夫です。
完璧にできていることが大事なのではなく、まずは次の3つから始めましょう。
セキュリティ担当者(兼任可)を決める
*「名前を挙げただけ」にならないように注意しましょう!
→担当者を決めても、役割や責任の範囲が曖昧だと、実質的には誰も何もしていない状態になります。
→「システムに何かあったらこの人に連絡する」「点検表はこの人が記入する」など、最低限の役割を
明確にしましょう。
*このセキュリティ担当者は兼任でOKです。
→事務長やベテランスタッフが兼任する場合でも、他のスタッフと情報を共有できる体制を作って
おくことが大切です。
*大事な役割として「システム業者との“窓口”になる」という役割があります。
→セキュリティチェックリストやソフト更新の確認など、外部ベンダーとやりとりを担う人が必要に
なります。電子カルテが入っている場合は「システム管理者」また、レセコンだけの場合は「医事」
や受付担当者が対応することもあると思います。
その担当者の役割を明確にしておくことも大事です。
パソコンや機器の使用ルール(USB・パスワード等)を紙で残す
*「ルールの存在」と「現場運用」が一致しているか?ということがポイントになります。
→「USB禁止」と書いてあるのに、実際には誰でも挿し放題になっている・・・というような状態では
効果がありません。ルールと現場運用のギャップをなくすことが重要です。
*パスワードの使い回しや付箋管理はNGです!
→「みんなで同じID・パスワードを使っている」「PC画面にパスワードのメモが貼ってある」などは、
立入調査でも指摘されます。
*ルールは“実行できるレベル”で設定しましょう!
→厳しすぎるルールは守られません。
→例:「USB使用は業者立会い時のみ可」など、現実的な制限をルール化しましょう。
*ルールは“定期見直し”を忘れず行いましょう!
→ 新しいPCを導入したり、業者が変わったりしたときに見直されないまま古いルールが残るケースも
見受けられます。年1回程度は見直しの機会を設けましょう。
チェックリストを見ながら、現状と理想のギャップを「見える化」
*最初から“完璧”を求めなくても大丈夫です。
→ 全項目を「はい」にしようとすると、現場は疲弊します。まずは「どこが未対応か」を把握する
ことが大事です。
*「いいえ」=ダメではない!
→「対応予定」と記入してあれば問題ありません。
→「なぜ未対応か」「どう進めるか」を備考欄に明記しておけば、立入調査でも評価されます。
*ICTベンダーへのヒアリングも並行して
→「サーバのログはとっているか」「遠隔保守の制限はかかっているか」など、院内だけでは分からな
い項目もあります。これを機会にして、システム業者にも確認しましょう!
なるほど…「すぐに全部」じゃなくて、「今できることから」なんですね。
今回のお話をお聞きして、他人事ではいけないなと改めて認識できました。出来ることから、取り組む姿勢が大事なのだということですね。今できることは「診療を止めないためにできることをやる」ということが大事なことだと学びました。ありがとうございました。
※本コラムでは、令和7年度から本格的に求められるようになった「医療機関のサイバーセキュリティ対
策」について、クリニックの実情に即して取り組むための視点を解説しました。
完璧を目指すより、今できることから始めていくことが大切です。
まずは担当者を決め、使用ルールを明確にし、チェックリストで現状を把握する――
その一歩が、診療を止めないための確かな備えにつながります。
弊社では、ルール作りのお手伝いも実施しています。現状を分析(評価)し、ルール化していく
ことをお手伝いいたします。気になる方は、ぜひご連絡ください。
話し手:ICT活用推進課マネジャー 綾部一雄
聴き手:医業コンサル課 長幸美
<参考資料> R7.8.5確認
■厚生労働省/医療分野のサイバーセキュリティ対策について
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html
■厚生労働省/令和7年度版医療機関におけるサイバーセキュリティ対策チェックリストhttps://www.mhlw.go.jp/content/10808000/001253950.pdf
■厚生労働省/和7年度版医療機関におけるサイバーセキュリティ対策チェックリストマニュアル
https://www.mhlw.go.jp/content/10808000/001490741.pdf
著者紹介
- 医業経営コンサルティング部 医業コンサル課 シニアコンサルタント
制作者の直近の記事
