「うちは小さな診療所だから関係ない」「メーカーが全部やってくれているから大丈夫」
——そんな声を医療現場でよく耳にします。
しかし、厚生労働省が示す最新のガイドラインでは、医療機関自身が責任を持ってセキュリティ体制を整えることが求められています。第6.0版のチェックリストを見たとき、自院はどこまで対応できているでしょうか?
この記事ではガイドラインのポイントとその背景、医療現場でよくある誤解と対策方法について、わかりやすく解説します。
1章:ガイドライン第6.0版とは?-改訂の背景
厚生労働省が定める「医療情報システムの安全管理に関するガイドライン(以下ガイドライン)」は、医療機関における情報セキュリティ対策の基本方針を示す重要な指針です。
このガイドラインでは、サイバー攻撃を受けた際の対応手順や、平時から整備すべき体制について明確に示されており、医療機関はその内容に沿って、必要な対策や仕組みづくりを進めることが求められています。中でも、医療機関が優先的に取り組むべきポイントは、「サイバーセキュリティ対策チェックリスト」として整理されており、各施設はマニュアルを参照しながら、このチェックリストを活用して実効性のある対策を講じる必要があります。
2023年5月の第6.0版への改訂では、ガイドラインの構成も刷新され、経営層・システム管理者など立場ごとに読みやすく再編されました。これにより、経営層に対してもセキュリティの重要性を伝えやすくなっています。また、ゼロトラストの考え方や、クラウドサービス利用時の責任分担の明確化など、最新の技術動向にも対応しており、現代の医療現場に即した内容へとアップデートされています。
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版(概説編)」https://www.mhlw.go.jp/content/10808000/001102570.pdf
厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリスト(令和7年5月)」
https://www.mhlw.go.jp/content/10808000/001253950.pdf
ガイドラインについてはこちらのブログでも解説しています。
2章:ガイドラインへの対応が進んでいない場合のリスクと事例
ガイドラインへの対応を怠ると、診療の継続や経営に大きな影響を及ぼす可能性があります。
以下に主なリスクと実際に起きた事例を紹介します。
診療の長期停止リスク
サイバー攻撃への備えが不十分な状態で被害を受けると、電子カルテや検査機器が使用できなくなり、診療の継続が困難になる恐れがあります。
実際に、2021年秋に徳島県の病院で発生したランサムウェア攻撃では、電子カルテのサーバが暗号化され、救急の受け入れ停止、新規患者の診察中止、手術延期など深刻な影響が出ました。復旧まで約2か月間、紙カルテでの運用を余儀なくされ、診療報酬の請求業務にも支障をきたしました。2022年秋には大阪の病院でも同様の攻撃により、電子カルテが使用不能となり、長期間にわたって診療が停止する事態が発生しています。
行政からの指導・是正勧告
厚生労働省は医療機関に対しガイドラインの遵守を求めており、都道府県による監査体制も整備されています。
対応が不十分なままだと、監査時に不備を指摘され、改善計画の提出や是正指導を受ける可能性があります。患者情報の漏えいや診療停止といった被害が発生した場合、ガイドラインを遵守していないことが問題視され、法的責任や賠償に発展する可能性も否定できません。
社会的信用の失墜
サイバー攻撃によるトラブルはニュースなどで広く報道され、医療機関の社会的信用を大きく損なう可能性があります。「必要なセキュリティ対策を怠っていた」と報じられれば、患者離れや紹介の減少といった経営面の影響も避けられません。
\ 無料相談受付中! /
このようにガイドラインに対応せずにいることは、医療の質と経営の両面にリスクにつながります。
「自院は大丈夫」「うちは狙われない」と油断せず、実際の被害事例から学び、早めの対策を講じることが求められます。
3章:医療機関が抱えがちな課題と誤解
ガイドラインへの対策が重要なことは理解していても、実際に対応を進めようとすると、さまざまな課題に直面するかもしれません。ここでは、医療現場からよく聞かれる代表的な声をご紹介します。
「ITベンダーに任せているから大丈夫」
電子カルテやシステムのセキュリティは、メーカー(ベンダー)に任せているから安心——そう思っていませんか?
確かに、ソフトウェアのアップデートやウイルス対策など、技術的なセキュリティ対策はベンダーが対応してくれる部分もあります。
しかし、第6.0版のガイドラインで求められているのは、それだけではありません。インシデント発生時の連絡体制、院内のルール整備、バックアップの管理方法など、医療機関内部の体制や運用ルールの構築が必要です。こうした内部管理の整備は、ベンダーが代行できない、医療機関の責任範囲です。
「本当にメーカー任せで大丈夫?」と感じている院長や事務長の方がいれば、その直感はまさに正しいと言えるでしょう。自院として主体的に対応する姿勢が、今まさに求められています。
「ガイドラインの内容が分からない」
ガイドラインに関して、「専門用語が多くて難しい」「何から手をつければよいのか分からない」といった戸惑いの声も少なくありません。特に中小規模の医療機関ではITの専任担当がいないことも多く、経営層自らが判断や対応を迫られるケースもあります。ガイドライン本体はボリュームがあり、すべてを読み込むのは負担が大きいのが実情です。
しかし、公開されているチェックリストは、「まず取り組むべき項目」が端的にまとめられており、実務的な第一歩として有効です。まずはこのチェックリストを使って現状を自己点検し、対応済みかどうかを一つずつ確認していくところから始めてみましょう。わからない項目はマニュアルを参考にしながら進めることで、優先的に取り組むべき課題が自然と見えてきます。
厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関等・事業者向け~(令和7年5月)」
https://www.mhlw.go.jp/content/10808000/001490741.pdf
「セキュリティ対策に不安はあるが、人手も知識も足りない」
サイバーセキュリティに関する専門知識を持った人材は、どの医療機関でも不足しているのが現状です。特に小規模な病院や診療所では、情報システムの担当者がいない、兼任している職員に負担が集中しているというケースも珍しくありません。
また、診療業務が最優先となるため、「重要なのはわかっているけど手が回らない」「この規模ならそこまで深刻じゃないはず」といった判断に傾きがちです。しかし、攻撃者は規模を問わず、脆弱な組織を狙います。事実、被害を受けている中小の医療機関も少なくありません。
人手や知識が足りなくても、対応をあきらめる必要はありません。
外部の専門サービスをうまく活用すれば、リソース不足を補いながら着実に対策を進めることができます。
4章:対策をご支援する Proactive Defenseのサービス
Proactive Defenseではセキュリティ支援に多数の実績を持つコンサルタントチームが、厚労省のチェックリストに準拠した支援を行うサービスをご提供しています。
これまでさまざまな規模・業態に対して、セキュリティ体制構築やガイドライン対応の支援を行ってきた実績があり、「何から手をつければよいか分からない」「ベンダー任せの現状に不安がある」「内部の体制整備に手が回らない」といった課題に対して、実務レベルでの対応を丁寧にサポートします。
厚生労働省が提示するチェックリストに沿った対応の仕組みづくりを支援するために、現場のニーズに応じた3つのプランをご用意しています。
エントリープラン
ご自身が中心になって進められたい医療機関向け。
厚労省のチェックリストに準拠したセキュリティ関連ドキュメントのひな形を提供し、ご支援します。
スタンダードプラン
自組織の稼働確保が難しい、体制づくりを5ヶ年かけて、ゆっくりと進めたい医療機関向け。
エントリー内容に加え、連絡体制図などの組織独自のドキュメントの作成もサポートします。
エンタープライズプラン
体制づくりを早期に進めたい医療機関向け。スタンダードプランの内容を1年で実施します。
BCP(事業継続計画)や端末管理台帳の作成など、実践的なセキュリティ運用をトータルでご支援します。
貴院の状況に応じた柔軟な支援が可能です。
まずはチェックリストの記入をきっかけに、自院のセキュリティ体制を見直してみませんか?
ご相談は無料です。お気軽にお問い合わせください。
まとめ
厚生労働省のガイドライン第6.0版への対応は、患者さんの情報と診療の継続性を守るために避けて通れません。まずは厚労省のチェックリストを入手し、自院のセキュリティ対策状況を一度点検してみてはいかがでしょうか。
本記事をきっかけに「まずは現状確認から始めてみよう」という前向きな一歩を踏み出していただければ幸いです。
\ 無料相談受付中! /
