医療機関の情報システム担当者様向けに「医療情報システムの安全管理に関するガイドライン第6.0版」の変更点をわかりやすく解説します。ゼロトラスト、クラウド対応、見落としがちな医療機器のサイバーセキュリティ対策まで、今すぐやるべき対策がこの記事でわかります。
導入:医療情報システムの安全管理に関するガイドラインとは?
医療機関では、電子カルテや検査システムをはじめとする情報システムが診療の根幹を支えています。一方で患者情報は極めて機微性が高く、万一の漏えいは病院の信頼を大きく揺るがしかねません。そこで厚生労働省は「医療情報システムの安全管理に関するガイドライン」を策定し、医療現場でシステムを安全に活用するための指針を示しています。
このガイドラインの特徴は、単なるセキュリティ強化ではなく「診療の継続性を守る」視点を重視している点です。つまり患者に安心して医療を受けてもらうため、情報の保護と利便性の両立を求めているのです。
本記事では、その最新版である第6.0版の要点を整理し、現場で実際に必要となる対応をわかりやすく解説します。
なぜ今、このガイドラインが重要視されているのか
近年、国内外で医療機関を狙ったランサムウェア攻撃が急増しています。ランサムウェアとは、コンピューターに侵入してデータやシステムを使えなくし、その解除と引き換えに身代金(ランサム)を要求する悪質なウイルスのことです。
ランサムウェアによって電子カルテや予約システムが停止し、救急患者の受け入れを一時中止せざるを得ない事例も報告されており、被害は単なるデータの損失にとどまりません。診療停止は地域医療の崩壊につながるため、社会的インパクトは計り知れないものとなります。
こうした背景から、第6.0版では従来以上に「事業継続」の視点が強調され、セキュリティ対策は経営課題として扱うべきだと明示されました。特に、システム管理を兼務する情報システム担当者にとっては、限られた人員と予算で高度化する脅威に対抗せねばならず、ガイドラインは「何から手を付けるべきか」を示すための重要な指針となるでしょう。現場の多忙な担当者が効率的に対応を進めるため、今このタイミングで内容を把握しておく意義は非常に大きいのです。
対象となる医療機関と情報システムの範囲
ガイドラインは大学病院や地域の基幹病院だけでなく、診療所や歯科医院、さらには薬局や訪問看護ステーションまで広く対象に含まれています。つまり「電子カルテを導入していないから関係ない」とは言えず、患者情報を取り扱うあらゆる施設が遵守を求められるのです。
また、対象となるシステムは電子カルテだけではありません。検査システム、放射線画像システム、さらには薬剤在庫や予約管理システムまで含まれ、院内で利用される大半のIT基盤が対象とされています。例えば予約システムが停止すれば外来の患者受付が混乱し、診療全体が滞る可能性があります。また、薬剤在庫管理が使えなくなると必要な薬が迅速に提供できず、治療計画に支障をきたす恐れもあるでしょう。
このように、情報システムは病院の血流そのものであり、その保護範囲が広がっていることを理解しておくことが重要です。
ガイドライン第6.0版の4つの主な変更点
医療情報システムの安全管理に関するガイドライン第6.0版には多くの変更点があります。中でも特に重要な4つの変更点を紹介します。
ポイント1:経営層の責務とリーダーシップの明確化
第6.0版で最も大きな変更点のひとつは、セキュリティ対策を情報システム部門任せにするのではなく、院長や理事長といった経営層が主体的に関与すべきと明記された点です。
従来、多くの医療機関ではシステム管理者が日常的に運用・監視を担い、トラブルが起きた際も現場で対応してきました。しかしランサムウェア被害の深刻化により、患者受け入れの停止や経営的損失といった影響が経営課題そのものとなり、責任の所在を曖昧にできなくなっています。
例えば「予算がないから更新は後回し」と判断するのは経営層である以上、結果として発生するリスクもトップマネジメントが背負わなければなりません。そのため医療情報システムの安全管理に関するガイドラインでは、経営層がリーダーシップを発揮し、戦略的に資源配分や人材確保を進めることが求められています。
単なる形式的な責務ではなく、病院経営を守るための実質的な行動指針だといえるでしょう。
ポイント2:ゼロトラスト・アーキテクチャの考え方の導入
第6.0版で新たに強調されたのが、従来の「境界防御」モデルからゼロトラストの考え方へと発想を転換する必要性です。
従来は「院内ネットワークは安全」「院外との接点を守れば良い」という前提でファイアウォールやVPNに依存してきました。しかし、内部職員のアカウント情報が窃取されたり、院内に持ち込まれた機器からマルウェアが侵入したりする事例が増えており、境界さえ越えなければ安全という時代は終わっています。
ゼロトラストの基本は「何も信頼しない」を前提に、利用者や端末ごとに逐次認証・検証を行うことです。たとえば電子カルテにアクセスする際にも、権限の厳格化、多要素認証、アクセスログ監視を組み合わせることで、不正利用を早期に検知できます。
「院内だから安心」という思い込みを排し、常にリスクを前提にした設計へと移行することが重要です。
OTゼロトラストの基礎については、以下の資料にて詳しく解説しています。ぜひあわせてご覧ください。
インフォグラフィックで解説。OTゼロトラストの4つの基礎とは?
TXOneのOTゼロトラスト手法による生産現場のサイバー攻撃防御についてわかりやすく、実行可能な概要を4つのステップをインフォグラフィックスを用いて解説します。
ポイント3:クラウドサービス利用を前提としたセキュリティ要件
近年、電子カルテや医事会計システムをクラウド上で運用する医療機関が増えています。サーバー管理の負担軽減や災害時の可用性確保といった利点がある一方、クラウド利用には新たなリスクが伴います。
第6.0版では、医療機関がクラウドサービスを選定・利用する際に確認すべき具体的な要件が明記されました。例えば、データがどの国のデータセンターに保管されるのか、暗号化は適切に行われているか、障害発生時の復旧体制はどうかといった点です。さらに、サービス終了時にデータを確実に返却・消去できる仕組みの有無も重要な確認項目となります。
システム担当者にとっては、クラウド事業者に「任せきり」にするのではなく、契約時に具体的な要件をチェックし、院内の規程と整合性を取ることが欠かせません。ガイドラインは、導入判断を経営層に説明する際の根拠としても有効に活用できます。
ポイント4:インシデント発生に備えた外部委託先の管理強化
医療機関の多くは、システムの開発や保守、ネットワーク監視を外部ベンダーに委託しています。しかし近年は、委託先でのセキュリティ不備が原因で情報漏えいやシステム障害が発生するケースが増加しているのも事実です。
第6.0版では、こうしたリスクを踏まえ、外部委託先の管理体制や契約内容を明確にすることが強く求められています。例えば「障害発生時に誰が初動対応を行うのか」「患者への説明責任はどこにあるのか」といった責任分界点を契約段階で定義しなければなりません。
また、委託先に対しても定期的なセキュリティ評価や監査を実施するとともに、実際の運用状況の確認が必須です。システム担当者としては、ベンダー任せにするのではなく「共同でリスクを管理する」という視点を持ち、見積りや契約書の段階から関与する姿勢が求められます。
医療機関のサイバー攻撃実例から考える 医療情報システムのサイバーセキュリティ対策ポイントを解説
2024年7月30日開催TXOne ウェビナーでは「医療情報システムの安全管理に関するガイドラインガイドライン第6.0版」の改訂ポイントの解説と、日本で実際に起きた医療情報システムにおけるサイバー攻撃の実例をもとに、医療情報システムをサイバー攻撃から守り安全に管理するための対策ポイントを解説します。
ガイドラインが求める具体的な情報セキュリティ対策
医療情報システムの安全管理に関するガイドラインは、具体的にどのような対策を求めているのでしょうか。ここでは、ガイドラインの内容を「組織」と「技術」の観点から分類し、具体的な対策項目を紹介します。
遵守すべき「組織的安全対策」
第6.0版で繰り返し強調されているのは、個々の担当者の努力に依存するのではなく、組織全体としてセキュリティ体制を築くことです。
まず基本となるのは「情報セキュリティ委員会」の設置であり、情報システム部門だけでなく、医師、看護師、事務部門も交えた横断的な意思決定の場を設ける必要があります。ここで定められた方針を院内規程に反映し、運用ルールを明文化することが重要です。
また、職員教育も欠かせません。フィッシングメールやUSBの持ち込みといった、現場で頻発するリスクを題材に研修を行うことで、具体的な行動変容につなげられます。さらに、インシデント対応体制の構築も必須です。誰が初動対応を行い、どの段階で経営層へ報告するのかを明確にしておくことで、混乱を最小限に抑えられます。
こうした取り組みは単なる形式ではなく、病院が「守るべき仕組み」を持っていることを対外的に示す証拠にもなります。
導入すべき「技術的安全対策」
組織体制の整備に加えて、技術的な防御策の実装も必要です。
第6.0版では、不正アクセスやマルウェア感染を前提とした多層的な対策が求められています。具体的には、端末やサーバーへの多要素認証の導入、不要なポートやサービスを閉じるアクセス制御、院内通信を常時暗号化する仕組みなどが挙げられます。
また、バックアップの確保も極めて重要です。単にデータを複製するだけでなく、オフライン環境に定期保存し、復旧テストを実施することで実効性を担保できます。
加えて、最新のマルウェア対策ソフトやEDR(Endpoint Detection and Response)の導入により、侵入後の異常挙動を迅速に検知可能です。
こうした対策は「コストがかかるから後回し」とされがちですが、ひとたびシステムが停止すれば診療そのものが止まり、損失は比較になりません。現場で即活用できる実装こそが病院経営を守る現実的な盾となります。
意外な盲点?ネットワークに接続された医療機器(OT)のセキュリティ
情報システムの対策に注力するあまり、見落とされがちなのが医療機器のセキュリティです。
CTやMRI、検体分析装置といった機器は、かつてはネットワークに接続されない形で利用されていましたが、今や電子カルテや画像サーバーとネットワークで常時接続されています。その結果、これらの機器自体が攻撃の入り口となるリスクが顕在化しています。
例えば、メーカー提供の古いOSが残されたままの機器では、セキュリティパッチが適用できず、既知の脆弱性を突かれる恐れがあるでしょう。また、臨床現場では「稼働を止められない」事情から更新が後回しになりやすく、結果として攻撃者に狙われやすいポイントになります。
第6.0版では、ITシステムだけでなくOT環境を含めたリスク管理の必要性が明示されました。資産台帳を整備し、医療機器のファームウェア更新やネットワーク分離を検討することは、診療継続を守るうえで不可欠な取り組みです。
OTセキュリティとは?ITとOTの違いや、2024年の今、注目されている理由
OTセキュリティとは何か。また、なぜ今OTセキュリティが注目されているのか。その理由やITとOTの違い、日本の製造現場が抱えるOTセキュリティの課題とその対策方法について解説します。
ガイドライン対策を進める上での課題と解決のヒント
ガイドライン対策を進める上で、さまざまな課題が発生することがあります。ここでは、ガイドライン対策を進める際に発生しやすい課題と解決のヒントを紹介します。
人材や予算の確保
多くの医療機関に共通する課題は「限られた人材と予算の中でどこまで対応できるか」という現実です。システム担当者が数名しかおらず、他業務と兼任しているケースも少なくありません。
そのため、経営層に対して「セキュリティは診療継続を守る投資である」と理解を得る説明が不可欠です。例えば、ランサムウェア被害で1週間診療が停止した場合、外来収益だけで数千万円単位の損失となる可能性があります。このリスクを示すことで、費用対効果を数字で経営層に伝えやすくなるでしょう。
また、人材不足を補う選択肢として、外部のセキュリティ専門家やマネージドサービスを活用する方法も現実的です。内部リソースを無理に拡張するより、専門家と協力する方が即効性が高いケースもあります。
「守るコスト」を単なる出費とせず、経営リスクを減らす保険と位置づけることで、必要な人材と予算を確保しやすくなるのです。
医療機関のサイバー攻撃実例から考える 医療情報システムのサイバーセキュリティ対策ポイントを解説
2024年7月30日開催TXOne ウェビナーでは「医療情報システムの安全管理に関するガイドラインガイドライン第6.0版」の改訂ポイントの解説と、日本で実際に起きた医療情報システムにおけるサイバー攻撃の実例をもとに、医療情報システムをサイバー攻撃から守り安全に管理するための対策ポイントを解説します。
どこから手をつけるべきか
ガイドラインに沿った対策を進める際、多くの担当者が悩むのは「何を最優先にすべきか」という点です。いきなり高度なゼロトラストや大規模投資に着手するのではなく、まずは現状把握から始めるのがよいでしょう。
具体的には、システム資産の棚卸しとリスクアセスメントを行い、自院が抱える弱点を可視化することが第一歩となります。例えば「どのサーバーが古いOSのまま稼働しているか」「どの医療機器がネットワーク分離されていないか」といった情報を整理することで、優先順位を客観的に設定できます。その上で、影響度が大きく実行可能性の高いものから段階的に取り組むのが効果的です。
また、定期的に見直しを行い、改善の進捗を経営層に報告する仕組みを持つことで、組織としての取り組みが形骸化するのを防げます。
まとめ:ガイドライン遵守は、患者と病院を守るための第一歩
医療機関を狙ったサイバー攻撃は増加しており、被害は診療停止や経営危機に直結します。第6.0版のガイドラインは、こうした脅威に対応するために「事業継続」を重視し、経営層の責任やゼロトラストの導入、クラウド利用時の要件、外部委託先の管理強化を明確化しました。
まずはシステム資産の棚卸しとリスクアセスメントを実施し、自院にとっての優先課題を明確化しましょう。ガイドライン対応は単なる義務ではなく、患者の安全と病院の持続的な診療を守るための投資です。
TXOneにまずお気軽にご相談ください。
医療業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
