クリニックの医院長・事務長向け:医療情報セキュリティの実務ポイント
本記事では、医療情報セキュリティについて、クリニック・医療機関の医院長、事務長、管理部門が押さえるべき 制度対応、医療DX、診療報酬改定、証憑管理との関係をわかりやすく整理します。
医療機関へのサイバー攻撃のニュースが増えています。電子カルテが使えなくなり、診療を停止せざるを得なくなった病院の事例は、対岸の火事ではありません。 「医療情報システムの安全管理に関するガイドライン第6.0版」は、医療機関が最低限守るべきセキュリティのルールブックです。 今回はその中身をやさしく解説します。
残念ながら、サイバー攻撃者は「小さな医院」も積極的に狙っています。むしろ、セキュリティが手薄な小規模医院が標的になりやすい現実があります。
なぜ今、医療機関が狙われるのか
医療データは「闇市場」で高値がつく——攻撃者が医院を狙う理由
医療機関がサイバー攻撃の標的になりやすい理由は、主に3つあります。
医療データの価値が高い
患者さんの氏名・住所・病歴・処方情報などは、個人情報の中でも特に機密性が高く、犯罪者に高値で売れる。クレジットカード情報より価値が高いとも言われる。
「止められない」業種だから脅しやすい
診療は止められない。電子カルテが使えなくなれば、身代金を払ってでも復旧しようとする医療機関が多い。攻撃者はその「弱み」を狙う。
セキュリティ対策が手薄な機関が多い
中小規模の医療機関では、専任のIT担当者がいないことが多く、パスワード管理・アップデート・バックアップが不十分なケースが多い。
医療DXで接続点が増えた
オンライン資格確認・電子処方箋・クラウドサービスの導入で、インターネットへの接続が増えた。接続が増えると攻撃の入口も増える。
ガイドライン第6.0版の構成——4つの編とは?
「医院長向け」「IT担当者向け」「現場スタッフ向け」に分かれた実践的な指針
「医療情報システムの安全管理に関するガイドライン第6.0版」は、厚生労働省が公表する医療機関向けのセキュリティガイドラインです。 4つの編に分かれており、それぞれ異なる立場の人に向けて書かれています。
| 編 | 主な読者 | 内容のポイント |
|---|---|---|
| 概説編 | 医療機関全体 | ガイドライン全体の趣旨・法的位置づけ・最新の脅威動向 |
| 経営管理編 | 医院長・理事長 | 経営層が持つべきセキュリティ責任・組織的な管理体制の構築 |
| 企画管理編 | 事務長・IT担当者 | セキュリティポリシーの策定・外部委託の管理・インシデント対応 |
| システム運用編 | IT担当者・現場スタッフ | システムの日常管理・アクセス制御・バックアップ・教育訓練 |
6つの必須対応項目——今すぐ確認すること
ガイドラインが医療機関に求める具体的な対策リスト
ガイドラインが医療機関に求める主要な対応を、わかりやすく整理しました。
「ITはシステム担当者に任せている」では通用しません。経営層が情報セキュリティの責任者として、方針を決め、予算を確保し、状況を把握することが求められます。
確認ポイント:「誰がセキュリティの責任者か」が明確になっているか?年間のセキュリティ予算は確保されているか?
電子カルテ会社・クラウドサービス・保守会社などに医療情報を預けている場合、その会社のセキュリティ対応も医療機関の責任です。
確認ポイント:外部委託先との契約にセキュリティ要件は入っているか?委託先の事故発生時の連絡体制は明確か?
職員ごとにアクセスできる情報の範囲を決める。退職者のアカウントは即座に削除する。強度の高いパスワードを使う。ログ(操作記録)を管理する。
確認ポイント:退職したスタッフのIDは削除されているか?共有パスワードを使っていないか?操作ログは保管されているか?
ウイルス対策ソフトの導入・定期更新。OSやソフトウェアのセキュリティパッチ適用。不審メール・添付ファイルへの注意。バックアップの定期実行と確認。
確認ポイント:ウイルス対策ソフトは最新か?バックアップデータは、本番システムと切り離された場所に保管しているか?
医療情報を標準規格(HL7 FHIR等)に基づいて管理することが推奨される。異なるシステム間での情報共有が安全にできるようにする。
確認ポイント:使っている電子カルテは標準規格に対応しているか?ベンダーに確認済みか?
「対策をやっている」だけでなく、「いつ・誰が・何をしたか」の記録を残すことが必要。施設基準の要件にも関わる重要な取り組み。
確認ポイント:スタッフへのセキュリティ教育の記録はあるか?定期的な点検の記録はあるか?セキュリティポリシーの文書があるか?
ランサムウェアって何?——子どもにもわかる説明
「身代金型ウイルス」の仕組みと、医療機関がとるべき対策
悪者がこっそりあなたの家に入り込んで、部屋の鍵をすべて変えてしまったとします。 自分の家なのに、どの部屋にも入れない。
「鍵を返してほしければ、お金を払え(ランサム=身代金)」と要求してきます。 これが「ランサムウェア(Ransomware)」です。
医療機関の場合、電子カルテ・レセコン・患者情報がすべて「暗号化(鍵がかけられた状態)」され、 診療ができなくなります。 バックアップがなければ、データが永久に失われる可能性もあります。
「診療報酬」とセキュリティがつながっている
サイバーセキュリティ対策は、施設基準の要件にも関わる
サイバーセキュリティは、「ITの話」で終わりません。 診療報酬の施設基準や加算の要件として、セキュリティ対策の実施と記録が求められるようになっています。
| 診療報酬上の動き | 医療機関への影響 |
|---|---|
| 医療DX推進体制整備加算 | マイナンバーカードでの資格確認・情報共有への対応に加え、セキュリティ対策も要件に含まれる |
| 感染対策・BCP | BCPの策定と訓練記録が求められる施設基準がある |
| 今後の改定動向 | サイバーセキュリティ対策チェックリストの実施・記録が施設基準要件になる可能性がある |
今すぐできるチェックリスト
まずここから——医院長・事務長が最低限確認すべき10項目
- 電子カルテ・レセコンのバックアップは定期的に取れているか?(バックアップは本番と切り離した場所にあるか)
- 退職したスタッフのアカウントは削除されているか?
- 電子カルテのIDとパスワードを複数人で共有していないか?
- OSやソフトウェアのセキュリティアップデートは適時行われているか?
- ウイルス対策ソフトは最新の状態か?
- スタッフへのセキュリティ教育(不審メール対策等)を実施しているか?
- ランサムウェアに感染した場合の対応手順(BCP)はあるか?
- 電子カルテ・レセコンを管理しているベンダーのセキュリティ対応方針を確認しているか?
- クラウドサービスを使っている場合、そのサービスのセキュリティ認証・基準を確認しているか?
- セキュリティに関する点検・教育の記録を残しているか?
まとめ:セキュリティは「コスト」ではなく「保険」
医院長が主体的に関与
最後の砦
ID・パスワードを厳格に
ベンダーも責任の範囲
証憑として残す
「もし感染したら」を想定
サイバーセキュリティへの投資を「余分なコスト」と感じる方もいるかもしれません。 しかし、ランサムウェアに感染して診療が止まった場合のコスト(機会損失・復旧費用・患者さんへの影響・信頼の喪失)と比べれば、事前の対策投資は「保険」に過ぎません。
次回・第8回では「医師の働き方改革」を取り上げます。2024年4月から始まった新制度が、医院経営と医療DXにどう影響するかを解説します。
医院長・事務長向けFAQ
Q. 医療情報セキュリティはクリニックにも関係ありますか?
はい。医療情報セキュリティは、診療報酬改定、医療DX、施設基準、証憑管理、医院運営に関係するため、医院長・事務長が把握すべきテーマです。
Q. 医院長・事務長は何から確認すべきですか?
まず自院の現状、使用中のシステム、届出・HP掲載・研修記録・証憑管理の状態を棚卸しすることが重要です。
Q. 365メディカルには何を相談できますか?
医療DX、診療報酬改定、施設基準、証憑管理、HP掲載、働き方改革、地域医療構想を踏まえたバックオフィス整備について相談できます。
セキュリティ対策・証憑管理の整備をお手伝いします
365メディカルでは、ガイドライン第6.0版に沿ったセキュリティ対策の確認・記録整備・スタッフ教育計画の支援を行っています。 「何から始めればよいかわからない」という段階からご相談いただけます。
365メディカルに相談する参考・参照
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」
- 厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリスト」
- 厚生労働省「医療機関のサイバーセキュリティ対策について」
- 総務省「医療分野のサイバーセキュリティ対策について」
本記事は、医療機関向けに制度やガイドラインの全体像をわかりやすく整理することを目的とした一般的な情報提供です。実際のセキュリティ対策については、必ず最新の厚生労働省資料・専門のセキュリティ事業者・ベンダーの助言をご確認ください。