医療機関必見！サイバーセキュリティ対策のチェックリスト活用法

サイバーセキュリティ対策チェックリストは、厚生労働省が策定した「医療情報システムの安全管理に関するガイドライン 第6.0版」から、医療機関が優先的に取り組むべき内容をチェックリストにまとめたものです。

チェックリストの概要

チェックリストは、医療機関向けの「医療機関確認用」と事業者向けの「事業者確認用」の2種類で構成されます。

チェックリストの各項目について分かりやすく解説したチェックリストマニュアルも用意されており、サイバーセキュリティ対策になじみがない人でも理解しやすくなっています。

チェックリストが作成された背景

近年、国内外で医療機関のセキュリティインシデントが相次いで起きています。

医療機関に対するサイバー攻撃が多様化・巧妙化していることを受けて、厚生労働省は「医療情報システムの安全管理に関するガイドライン 第6.0版」の中でゼロトラストネットワーク型志向を取り入れることの有用性について示しています。

チェックリストにおいても、サーバのアクセスログを管理することや、ネットワークの接続元を制限することなどが記載されており、境界防御型思考とゼロトラスト思考を組み合わせて対応することを求めています。

チェックリストを活用する目的

チェックリストは、日増しに脅威が高まるサイバー攻撃などから医療情報システムを守るために活用します。現代社会において、効率的かつ正確な医療サービスを行っていくうえで医療情報システムは欠かせません。

医療情報システムを使用している全ての医療機関は、日頃からチェックリストを活用したサイバーセキュリティ対策を行う必要があります

厚生労働省は「医療情報システムの安全管理に関するガイドライン」を策定するなど、医療機関でのサイバーセキュリティ対策のガイドラインを整備しています。それでも、なぜ医療機関でのセキュリティインシデントが相次いで起こっているのでしょうか。

ここでは、医療機関が置かれている現状と情報セキュリティ対策が浸透しない要因について解説していきます。

外部調査により判明した実態

令和3年4月に、日本医師会総合政策研究機構から発表された日医総研ワーキングペーパー「病院・診療上のサイバーセキュリティ：医療機関の情報システムの管理体制に関する実態調査から」によると、医療機関の49.2％がネットワーク構成図の資料を持っていないと回答しています。

また、情報システム専任の担当部門があるのは全体の20.6％にとどまり、兼務の担当者が管理しているが33.2％、院長自らが管理しているが31.6％となっています。

上記のことから、サイバーセキュリティ対策を講じるための体制が十分に整っていない医療機関が多いことが明らかになりました。

セキュリティ対策が浸透しない要因

日本医師会総合研究機構の調査からも分かるように、多くの医療機関ではセキュリティ対策についてチェックできる仕組みや体制がなく、セキュリティ対策について学ぶ機会が十分ではありません。ガイドライン自体の認知度も低く、どのような対策をとるべきかを把握していない医療機関が少なくないのが現状です。

医療現場からは、サイバーセキュリティ対策の費用面での公的支援を望む声もあがっています。セキュリティ対策を進めるうえでの人材・体制・資金が十分ではない医療機関が少なくないことが、セキュリティ対策が浸透しない要因の1つだと考えられます。

先述の通り、チェックリストは医療機関向けの「医療機関確認用」と医療情報システム・サービス事業者向けの「事業者確認用」の2種類あります。

チェックリストマニュアルとあわせて活用することで、効果的なセキュリティ対策を行うことができます。

全体のチェックリストの使い方

チェックリストは、各項目の実施状況について「はい」または「いいえ」にマルをつけ、確認した日付を記入するようになっています。1回目で「いいえ」だった場合には、対応目標日を記入し、令和5年度中に全ての項目で「はい」にマルがつくように取り組みます。

「医療機関確認用」「事業者確認用」ともに参考項目が設けられています。参考項目については、令和6年度中に全ての項目で「はい」にマルがつくように取り組みます。

チェックリストは、医療法に基づいた立入検査時にも確認されます。1年に1回はチェックリストに基づいてセキュリティ対策を見直すとともに、立入検査前にも改めて確認すると良いでしょう。

医療機関確認用

医療機関用は、医療機関が優先して取り組むべきセキュリティ対策がまとめられています。事業者と連携して、全てのチェック項目で「はい」にマルがつくように取り組むことで、適切なセキュリティ対策を講じることができます。

事業者確認用

事業者と契約している医療機関は、システムを提供している事業者ごとに送付し、対策の状況を確認します。契約内容によっては、一部の項目の確認が不要になることもあります。

事業者と契約していない医療機関は、「事業者確認用」によるチェックは必要ありません。

「医療機関確認用」の各項目は、

1. 体制構築
2. 医療情報システムの管理・運用
3. インシデント発生に備えた対応

の大きく3つで構成されています。

対して、「事業確認用」の各項目は、

1. 体制構築
2. 医療情報システムの管理・運用

の2つで構成されています。

医療機関確認用

厚生労働省は医療機関の経営層にシステムに関する責任者を設置することを求めています。そのため、「1.体制構築」で医療情報システム安全管理責任者を設置しているかをチェックします。

「2.医療情報システムの管理・運用」では、サーバやネットワーク機器などの台帳管理ができているかやアクセス利用権限の設定など、セキュリティの観点から管理・運用に問題がないかを確認します。

「3.インシデント発生に備えた対応」では、インシデント発生時の連絡体制図の有無や、サイバー攻撃を想定した事業継続計画（BCP）が策定されているかなど、万が一に備えた準備や中長期的な計画についてチェックします。

事業者確認用

厚生労働省は事業者にも責任者の設置を求めているため、「1.体制構築」で医療情報システムなどの提供に係わる管理責任者が設置されているかを確認します。

「2.医療情報システムの管理・運用」では、リモートメンテナンス（保守）している機器の有無やアクセスログの管理、アカウントの運用方法などについてチェックします。

医療分野のデジタル化が急速に進んだことで、医療情報システムがサイバー攻撃などから狙われることが増えてきました。セキュリティインシデントは、患者の個人情報を流出させる危険性があるだけでなく、業務に深刻な影響を及ぼすこともあります。

まずは厚生労働省が公開しているチェックリストに基づいて現在の状況を把握し、全項目にマルがつくように早急に対応することが望まれます。