　第1回は医療分野で急増するサイバー攻撃の状況と日本政府の対応を取り上げ、第2回は国内における医療関連分野を中心としたサイバーセキュリティの規制動向について紹介しました。最終回となる今回の第3回では、サイバーセキュリティの規制を受けて医療情報システムや医療機器のメーカーが今すぐに取るべき対応について解説します。

医療情報システムベンダーは今何をすべきか

　まずは、電子カルテや診断データをはじめ医療情報を取り扱う医療情報システムのベンダーが取るべき対応を見ていきましょう。

　医療情報システムを製造し、サービスを提供する事業者（以下、提供事業者）が取るべき対応は「3省2ガイドライン」への対応です。厚生労働省は、医療情報システムのセキュリティ対策の中心に3省2ガイドラインを据えています。しかし、3省2ガイドラインへの完全な対応は医療機関も提供事業者も非常に負荷がかかるため、厚生労働省は段階を踏んで3省2ガイドラインの浸透を図っています。

　最初のステップとなるのが、「医療機関におけるサイバーセキュリティ対策チェックリスト」（以下、チェックリスト）への対応です。医療機関と提供事業者の双方にこのチェックリストの作成を求めています。

　次のステップは、「医療機関への製造業者／サービス事業者による医療情報セキュリティ開示書（MDS／SDS）」への対応です。厚生労働省は、提供事業者が医療機関にセキュリティ対応状況を示すステップとして、このMDS／SDSの作成を求めています。

　これらの2つの段階を経て、3省2ガイドラインへの対応に進むという流れです。

　現時点で3省2ガイドラインへの対応が進んでいない提供事業者は、上記のステップで対応を進めればよいと考えられます。特に、チェックリストとMDS／SDSは、医療機関から提示を求められたという声も多く聞かれますので、早急な対応が必要です。

医療機関におけるサイバーセキュリティ対策チェックリスト

　「医療情報システムの安全管理に関するガイドライン」（以下、安全管理ガイドライン）の内容のうち、優先的に取り組むべき事項を取りまとめたものがチェックリストです。提供事業者は「事業者確認用」のチェックリストを作成し、医療機関に提出します。

「医療機関におけるサイバーセキュリティ対策チェックリスト　事業者確認用」［クリックで拡大］出所：厚生労働省「医療機関におけるサイバーセキュリティ対策チェックリスト　事業者確認用」（2023年6月）

　チェックリストは2023年度中および2024年度中に実施すべき事項が示されています。各年度中にチェック結果が「はい」となるように対応を進める必要があります。

医療機関への製造業者／サービス事業者による医療情報セキュリティ開示書（MDS／SDS）

　安全管理ガイドライン第5.2版に記載された「最低限のガイドライン」への対応状況を示すものがMDS／SDSです。MDSは、医療機器や医療情報システムの製造業者が医療機関などで使用する医療機器、医療情報システムについて作成するものです。一方、SDSは、医療機関などとの契約に基づく医療情報システムによるサービスを、データセンターなどで運用するサービス事業者がそのサービスについて作成するものです。医療機関内で運用するシステムなどのリモートメンテナンスもSDSの記載対象となります。

　チェック項目は非常に簡潔に内容が示されています。しかし、チェック結果には当然提供事業者としての責任が伴います。チェック項目の説明やQ&A集も提供されていますので、内容をよく理解した上で、適切にチェックを付ける必要があります。