中小病院では専任のIT担当者がいないことも珍しくありません。
しかし、限られた体制でも「いますぐできること」は確実にあります。連載最終回となる第5回では、外部専門家の視点から、最小限のコストで実践できる4つの基本対策をご紹介します。

Q1　 IT担当者がいなくても、セキュリティ対策はできる？

A1　専門のIT 担当者がいなくても、外部ベンダーの協力を得ることで実効的なセキュリティ対策を進めることは可能である

まず、厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」（令和5年5月）^1）への準拠状況を電子カルテベンダー、部門・診療科ベンダーに説明してもらうのがよい。具体的には、最新の「医療機関におけるサイバーセキュリティ対策チェックリスト（事業者確認用）」と「薬局におけるサイバーセキュリティ対策チェックリスト（事業者確認用）」の提出を求め、ガイドラインが重視している重要ポイントの達成状況を確認する。そのうえで、「いいえ」に関する具体的な改善の目標日を設定し、対応できていない課題について進捗報告を求めればよい。

Q2　外部のセキュリティ業者を頼むと、費用はどれくらい？

A2　信頼できる外部セキュリティ業者に依頼すると高額になるが、VPN装置など外部接続点を対象に限定すれば、費用を抑えて当面の防御が可能である

まず、前述の厚生労働省のガイドラインをしっかりと守れていれば、ランサムウェアなどの被害は起きないことを理解いただきたい。

そのうえで、国の事業などを受託している、もしくは、国のセキュリティ関連の研究会や委員会に参加しているような、本当に信頼できるセキュリティ業者にコンサルを依頼すると少なくとも月額250万円以上はかかる。なお、セキュリティ製品事業者のコンサルタントは製品に特化した場合が多く、ネットワークインフラからOS、医療情報システムまでを広くすみずみまで理解しているわけではないので、十分に注意が必要である。

病院特有の閉域網を前提としたシステムでは、脆弱性管理が不十分で、危険な通信プロトコルや古い暗号方式などがあり、また、システムや装置の把握がなされていない場合が多い。そこで、IT 資産の棚卸から始める必要があるが、すべてを把握し刷新するには相当の時間とコストがかかるので、予算的には現実的ではない。

このため、VPN 装置などの外部接続点にかぎって調査を行い、最新のセキュリティパッチを適用すれば、当面の外部からの脅威に対して防御が可能となる。多くのVPN 装置はベンダー設置のものであるため、費用を低減することが可能である。

こうした当面の手当てを行ったうえで、次期システム刷新の際に、厚生労働省の医療情報システムの安全管理に関するガイドライン最新版への準拠を仕様に加える。この際、各遵守事項の遵守状況を具体的に求めていただきたい。

Q3　クラウド型サービスを使えば安全なの？

A3　クラウド型サービスは万能ではないが、基準を満たし適切に運用すれば、オンプレミス型より安全性が高い場合がある

クラウド型であっても、オンプレミス型であっても、最低限のセキュリティ対策を行っていなければどちらも危険である。ただし、オンプレミス型でもVPN 装置の脆弱性保守が不十分であるならば、一定のセキュリティ体制を有するクラウド型のほうがはるかに安全だろう。

導入の際の目安としては、国際的なセキュリティ基準であるISO/IEC 27001 とクラウド型特有のセキュリティ基準であるISO/IEC 27017を取得しているサービス事業者を使用するのが望ましい。そのうえで、クラウド型サービス利用の際は、管理者を含めすべて多要素認証を必須とする。多要素認証が利用できないクラウド型サービスの利用は避けるべきである。

クラウド型サービス特有のリスクを表1にまとめた。事業者に問い合わせる際に参照いただきたい。


タップして拡大↑

Q4　とりあえず、ベンダーに依頼すべきことは？

A4　まずは①厚生労働省ガイドラインの遵守状況、②他院の対応事例を参考にできるかを確認する

繰り返しになるが、まずは厚生労働省のガイドラインの遵守である。また、徳島県つるぎ町立半田病院、大阪急性期・総合医療センター、岡山県精神科医療センターの報告書での対応策が適用可能かをベンダーに問い合わせていただきたい。なお、まれに「医療機器ではないのでガイドラインは関係ない」「計測機器なのでガイドラインは関係ない」などというベンダーが存在するが、「医療情報システムの安全管理に関するガイドライン 第 6.0版」に関するQ&A^2）にあるように、「何らかの形で患者の情報を保有するコンピュータ、遠隔で患者の情報を閲覧・取得するようなコンピュータや携帯端末も範ちゅう」^＊3とあることに留意いただきたい。

＊3 概Q-５：「医療情報システム」とは具体的に何を示すのか。A：「医療機関等のレセプト作成用コンピュータ（レセコン）、電子カルテ、オーダリングシステム等の医療事務や診療を支援するシステムだけでなく、何らかの形で患者の情報を保有するコンピュータ、遠隔で患者の情報を閲覧・取得するようなコンピュータや携帯端末も範ちゅうとして想定しています。また、医療情報が通信される院内・院外ネットワークも含まれます」^2）。

文献
1） 厚生労働省．医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）．
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
2） 厚生労働省．「医療情報システムの安全管理に関するガイドライン 第6.0版」に関するQ&A．2025，12.
https://www.mhlw.go.jp/content/10808000/001145860.pdf

著者

書籍のご案内

患者と経営を守るIT-BCPと緊急対応ガイド
医療機関のサイバー対策
セキュリティ専門家と医療現場担当者が答える実践Q&A／実録に学ぶ“備え”の最前線 すぐ使えるツールのダウンロード付き

みんなで備える 医療のIT-BCP
実際にサイバー攻撃を受けた医療機関の事例をもとに、病院経営層、医療情報部門、医療スタッフなど、多職種による対応策を多角的に解説する。IT-BCP構築の基本から、院内教育、訓練方法まで、すぐに実践できる知識とノウハウを惜しみなく提供。現場担当者とセキュリティ専門家によるQ&Aや、すぐに使えるツール（ダウンロード可）も収録し、「何から始めるべきか」がわかる、医療現場のための実践書である。

発行：2025年11月
サイズ：B5判 208頁
価格：3,960円（税込）
ISBN：978-4-8404-8832-7
▼詳しくはこちらから

▶Amazonでの購入はこちら
▶楽天ブックスでの購入はこちら