医療法改正で対策が義務化！いま医療業界に求められる情報セキュリティとは？

医療業界でのセキュリティインシデントを耳にする機会が増えています。昨今のDX社会においては、あらゆる場所やモノがインターネットにつながるようになりました。医療機関も同様です。これまで閉ざされたネットワーク環境なので、セキュリティ対策を行わなくても大丈夫と思っていた医療現場ではセキュリティ対策が急務となっています。

2023年4月1日に医療法施工規制が改正されサイバーセキュリティ対策が義務化されました。厚生労働省より「医療情報システムの安全管理に関するガイドライン第 5.2 版本編」がリリースされていますが、まもなく第6.0版がリリースされる見込みとされています。このように対策が急がれる医療現場で、今もとめられている事項とは具体的にどのような内容なのか、本ブログにて少しご紹介します。

ガイドラインと医療現場にはギャップ

医療法施行規則が一部改正（2023年4月～）

まず、医療法施行規則にて2023年4月1日より一部改正されたのは、どのような内容でしょうか。
省令から一部抜粋しますと、

第１ 改正の趣旨

昨今、医療機関に対するサイバー攻撃が増加しており、サイバー攻撃により診療が停
止する事案が発生したこと、また、サイバー攻撃により医療に関する患者の個人情報が
窃取されるなどの甚大な被害がもたらされる可能性があること等を踏まえ、医療機関に
おけるサイバーセキュリティ対策に関する取組の実効性を高める必要が生じている。

第２ 改正の内容

規則第 14 条第２項を新設し、病院、診療所又は助産所の管理者が遵守すべき事項と
して、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを
確保するために必要な措置を講じることを追加する。

第４ 留意事項

病院、診療所及び助産所におかれては、規則第 14 条第２項に規定する「必要な措置」
として、最新の「医療情報システムの安全管理に関するガイドライン」（以下「安全管
理ガイドライン」という。）を参照の上、サイバー攻撃に対する対策を含めセキュリテ
ィ対策全般について適切な対応を行うこと。
なお、安全管理ガイドラインに記載されている内容のうち、優先的に取り組むべき事
項については、厚生労働省において別途チェックリストを作成し、後日通知する。

引用元：厚 生 労 働 省 大 臣 官 房『医療法施行規則の一部を改正する省令について』

とありまして、要するに

1. 医療機関におけるセキュリティ対策として、いよいよ形式的なものではなく実効性のあるものが求められるようになってきたこと
2. 必要な措置としては最新の「医療情報システムの安全管理に関するガイドライン」を参照するべきこと
3. 優先的に取り組むべき事項については、別途チェックリストがリリースされる

という3点が読み取れます。

医療現場の実状はどうか？

実効性のある対策が求められる医療現場ですが、実際の医療現場がどうなっているでしょうか。
これまで弊社がコンサルティングで関わらせていただいた、あるいは、ご相談いただいた経験から、以下のような課題があるように見受けられます。

1. 医療システム自体ではセキュリティ対策ができていても、医療施設側の導入・運用時に不十分なケースがある​
   
   • 医療システムのメンテナンスの際にリモート接続用にルータやVPNルータを医療施設内に設置して保守業者がメンテナンス用に接続するケースがあります。その際、注意しなければならないのはそれらの持ち込まれた機器を持ち込んだ業者が管理しない場合があるということです。管理者不在となると、バージョンアップやセキュリティパッチへの対応がなされないということに繋がります。その様な状態で放置されると、脆弱性を突かれて侵入され、ランサムウェアなどの攻撃に曝されることになります。
     
2. 医療システムの費用を抑えるためにセキュリティ対策をオプションにして、セキュリティ対策をやらないことを医療施設に選択させるケースがある​
   
   • データベースの暗号化や、院内LAN内の通信の暗号化等のセキュリティ対策について、情報システム本体に標準装備するのではなくオプション化して費用を抑えているケースがあります。目に見えない箇所ですので、手っ取り早く値引きする為の交渉材料として使われる場合があります。
     
3. 閉じたネットワーク内を想定した医療システムではセキュリティ対策を実施していないケースがある​
   
   • セキュリティ対策が進んでいない部門システムなど、閉じたネットワーク内を想定したシステム構成のままになっているケースがあります。導入当初は部門内でしか参照していなかったのですが、運用を進める中で部門外の端末からアクセスするようになり、対策を行わないまま院内何処からでもアクセスできる状態になっている場合があります。

このような背景から医療機関においては、導入している医療機器や医療システムについて、ガイドラインに準じているか急ぎで全体的に確認する必要がある、と言えるでしょう。

医療情報システムの安全管理に関するガイドライン第6.0版では、なにが変わる？

続いて医療法改正の2点目、最新の「医療情報システムの安全管理に関するガイドライン」についてご紹介します。2023年4月現在の最新版は、「医療情報システムの安全管理に関するガイドライン第 5.2 版本編」（※1）ですが、まもなく第6.0版がリリースされる見込みです。第6.0版（案）である「医療情報システムの安全管理に関するガイドライン 第6.0版概要」（※2）によると、第 5.2 版から大きくアップデートが読み取れました。以下、主な変更点を抜粋します。

職務ごとに記載内容を再編集

第 5.2 版までは１つにまとめて記載されていましたが、第6.0版では、「概説」、「経営管理編」、「企画管理職」、「システム運用編」という風に、担当者の職務ごとに分けて記載されていますので、どの職務で何をやるべきなのかが明確になり使いやすくなりました。各職務の役割についても解説されて、実施すべき役割も明確に示されて、担当者ご自身が何をやるべきなのかが判りやすくなりました。

業務内容ごとに記載内容を再編集

第 5.2 版までは１つにまとめて記載されていましたが、第6.0版では、「システム運用専任の担当者が いる/いない」、「医療情報システムがオンプレミス型/クラウドサービス型」という風に、医療機関の業務状況ごとに分けて記載されていますので、自身の医療機関では対応すべき項目か否かが明確になりました。

小規模医療機関等向けガイダンス追加

「小規模医療機関等向けガイダンス」（※3）が特集として追加されました。
これまでは「自医療機関は規模が小さいのでガイドラインが想定している組織の規模に合わない」と思い、ガイドライン対応をしてこなかった医療機関に対して、ガイドラインの代わりになる指針として提供されました。

変更点のまとめと、注意喚起

ガイドライン第6.0版は、職務ごとに分けられる等して、見やすくなりましたので、この機会にぜひガイドライン準拠状況を確認ください。ガイドライン対応していない医療機関は必ずご確認ください。これまでは「自医療機関は規模が小さいのでガイドラインに適さない」と、ガイドライン対応をしてこなかった医療機関には「小規模医療機関等向けガイダンス」 が提供されましたのでこちらをご確認ください。

わかりやすく改善された一方で、逆に言えば各医療機関、担当者での対応が明確になり、いよいよセキュリティ対策に本腰をいれるべきタイミングがせまっているといえるでしょう。また第 5.2 版にて、令和9年度から導入する医療システムは２要素認証が必須になります（※4）ので、まだ対応されていない医療機関は準備を進めてください。

医療機関が実施すべき事項は？～ポイントは４つ～

医療機関としては、何からはじめればよいでしょうか。対応すべきポイントは以下の4つがあります。

①現状把握

医療機関が現在運用している医療機器や医療システムに対して、ガイドラインに準拠しているかの確認を行う必要があります。先ほどご紹介した「医療情報システムの安全管理に関するガイドライン 第6.0版概要」を参考に、職務ごとに以下の観点で確認してください。

• 経営管理
  • 医療機関等における医療情報システムの安全管理の統制が実施されているか
• 企画管理
  • 医療機関等全体の医療情報システムの安全対策の管理が実施できているか
  • 組織的な対応に関する対策が実施できているか
• システム運用
  • 技術的な対応に関する対策が実施できているか

なお、医療法改正3点目の優先すべき事項のチェックリスト（※5）に関しては、

なお、安全管理ガイドラインに記載されている内容のうち、優先的に取り組むべき事
項については、厚生労働省において別途チェックリストを作成し、後日通知する。

引用元：厚 生 労 働 省 大 臣 官 房『医療法施行規則の一部を改正する省令について』

現時点では下記のチェックリストを参考にしてください。
ただし、今後改定される可能性があります。

（※5）参考：厚生労働省『サイバーセキュリティの確認のためのチェックリスト』
https://www.mhlw.go.jp/content/10808000/001076931.pdf

②ガイドライン違反の改善

ガイドラインに違反している箇所が見つかった場合は、対策を実施しなければなりません。​

• ガイドラインの違反が顕在化した場合にリスクを軽減できる早期対策を実施​
• 違反に対する改善の本対策を計画を決めて実施​
• 多数存在する場合は、ガイドラインの改訂箇所の対応や重要ポイントを基準に優先順を決めて順次対応

③ガイドライン改訂箇所の対応、重要ポイントの対応

以下のガイドライン改訂箇所や重要ポイントについて対応する必要があります。​

• 多要素認証対応、メーカーとの合意事項明確化、委託先管理の厳格化、攻撃対策体制
• ランサムウェア対策、アプリケーション間の安全性確保、医療システムの安全管理、電子署名

④新規導入時の対応

医療機器や医療システムを新規に導入する際に、導入する委託先事業者がガイドライン（※6）に準拠しているか確認する為の規約やルールに従って導入事業者を選定する必要があります。​

• 規約やルールが無ければ作成
• 既存の医療機器や医療システムを導入た事業者も順次確認​

委託先事業者のガイドラインについては下記を参照してください。

（※6）参考：経産省『医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン』
https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html

最後に

ざっくりではありますが、ガイドラインや実施すべき内容をご紹介してきました。法令改正もあり、もはや、セキュリティ対策はまったなしの状況となっておりますので是非早急に進めていただければと思います。

• ガイドライン対応を実施してみたけれど、対応ができているか心配
• ガイドライン対応したいけれど、何から手を付ければよいのかが判らない
• ガイドライン対応を実施して数年が経過するが、最新のガイドラインに準拠できているか心配

このようにお感じの医療機関様、弊社ではアドバイザリーサービスを提供しています。セキュリティ対策に関するちょっとした相談先が欲しい、という場合に、専門のコンサルタントがお客様のご質問に回答し課題の早期解決をご支援させていただきます。毎月の上限相談時間に応じた定額のサービスとなっていて、月額5万円～と大変お手軽なプランからご用意ございますので、ぜひご検討ください。

セキュリティに関するちょっとしたお悩みごとはございませんか？
無料相談も承りますので、ぜひお気軽にお問い合わせください。

著者：近藤　伸明
シニアセキュリティコンサルタント、企業様向けのセキュリティアドバイザリー支援実施。企業様向け、および、セキュリティ関連組織向けのドキュメント作成実績多数あり。直近では医療機関のセキュリティアドバイザーとして活躍中。