急ピッチで整備が進む国内の医療関連サイバーセキュリティ規制医療サイバーセキュリティ最新動向(2)(1/2 ページ)

医療分野におけるサイバーセキュリティの最新動向を紹介するとともに、今後の医療機器開発の進め方などについて説明する本連載。第2回は、国内における医療関連分野を中心としたサイバーセキュリティの規制動向を取り上げる。

» 2024年01月17日 07時00分 公開

 本連載では、医療分野におけるサイバーセキュリティの最新動向を紹介するとともに、今後の医療機器開発の進め方などについて説明します。

 第1回は、医療分野で急増するサイバー攻撃の状況と日本政府の対応を取り上げました。今回の第2回では、国内における医療関連分野を中心としたサイバーセキュリティの規制動向について紹介します。

⇒連載「医療サイバーセキュリティ最新動向」のバックナンバー

医療機関向けの規制動向

 国内の医療分野ではサイバー攻撃による被害が続発しています。医療機関においても、サイバー攻撃によって診療業務への多大な影響が生じるかもしれません。場合によっては、医療機関の閉鎖に追い込まれる可能性さえあるのです。

 こうした状況を受けて、政府としてもサイバー攻撃に備えた取り組みを進めています。医療分野に限らない、国全体としてのサイバーセキュリティへの取り組みについては、連載第1回の「医療分野で急増するサイバー攻撃、政府の対応はどこまで進んでいるのか」で取り上げた通りです。今回は、医療機関に向けた規制の動向を説明します。

医療情報を安全に取り扱うためのガイドライン

 医療機関では、さまざまな医療機器や医療情報システムを利用して医療サービスを提供します。サイバーセキュリティを確保することは、医療機関にとっても重要な責務となります。医療情報システムに対しては、医療情報を安全に取り扱うためのガイドラインとして「3省2ガイドライン」が策定されています。

3省2ガイドライン

 3省2ガイドラインとは、厚生労働省から医療機関向けに公開されている「医療情報システムの安全管理に関するガイドライン」(以下、安全管理ガイドライン)と、経済産業省と総務省からクラウドベンダーを含む情報処理事業者向けに公開されている「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、提供事業者ガイドライン)です。

 まず、医療機関は安全管理ガイドラインへの対応が求められます。

 次に、提供事業者ガイドラインですが、もともと情報処理事業者に向けた経済産業省の「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」と、クラウドベンダーに向けた総務省の「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」に分かれていました。しかし、近年では医療情報をクラウド上に保存、処理することが主流となり、情報処理事業者向け、クラウドベンダー向けのどちらのガイドラインも準拠が必要となったため、事業者にとっては負担が増えていました。

 そこで、2020年8月に提供事業者ガイドラインとして統合され、情報処理事業者もクラウドベンダーも、医療情報を扱うシステム/サービスの提供事業者は、提供事業者ガイドラインに準拠したセキュリティ対策の実施が求められることになりました。

安全管理ガイドラインと提供事業者ガイドラインのカバー範囲 安全管理ガイドラインと提供事業者ガイドラインのカバー範囲[クリックで拡大]

医療法施行規則の一部改正

 2023年3月10日に厚生労働省から「医療法施行規則の一部を改正する省令」(令和5年厚生労働省令第20号。以下、改正省令)が公布され、2023年4月から施行されることが通知されました。

 本通知では改正省令の留意事項として、「最新の『医療情報システムの安全管理ガイドライン』を参照の上、サイバー攻撃への対策を含めセキュリティ全般について適切な対応を行うこと」が示されました。

医療機関における医療機器のサイバーセキュリティ確保のための手引書

 さらに医療機器に関しては2023年3月31日に、「医療機関における医療機器のサイバーセキュリティ確保のための手引書」(以下、医療機関向け手引書)が公布されました。医療機関向け手引書は、一般社団法人である日本医療機器産業連合会 サイバーセキュリティタスクフォースにおいて取りまとめられ、医療機関における医療機器のサイバーセキュリティ確保に必要な取り組みや運用体制などが示されています。

医療機関向け手引書と安全ガイドラインなどの位置付け 医療機関向け手引書と安全ガイドラインなどの位置付け 出所:「医療機関における医療機器のサイバーセキュリティ確保のための手引書」の3ページ目

医療機関におけるサイバーセキュリティ対策チェックリスト

 しかし、安全管理ガイドラインを示して医療機関に順守を求めるだけでは、なかなかサイバーセキュリティ対策は進みません。そこで2023年6月9日に厚生労働省から、安全管理ガイドラインの内容のうちで優先的に取り組むべき事項をチェックリストとして取りまとめた「医療機関におけるサイバーセキュリティ対策チェックリスト」(以下、チェックリスト)が公開されました。チェックリストを有効活用するためのマニュアル「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル」も公開されています。

 チェックリストでは、2023年度中に実施すべき事項と2024年度中に実施すべき事項が示されています。チェックリストは医療機関確認用と事業者確認用があり、医療機関と事業者のそれぞれがチェックしなければなりません。また、2023年6月19日発表の「医療法第25条第1項の規定に基づく立入検査要綱の一部改正について」によって、都道府県による立入検査における「サイバーセキュリティ対策の確保」の項目でも、このチェックリストを確認することになりました。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.