検索
連載

医療機関へのシステム導入におけるセキュリティ対策、提供事業者は何をすべきか医療サイバーセキュリティ最新動向(1/2 ページ)

本稿は、医療機関にシステムを導入する際に必要不可欠となるサイバーセキュリティ対策について、情報システムメーカー(提供事業者)が取るべき対応を解説する。

Share
Tweet
LINE
Hatena

 本稿では、医療機関にシステムを導入する際に必要不可欠となるサイバーセキュリティ対策について解説します。日本政府の動向を踏まえつつ、各種通知やガイドラインが発出されている現状を整理し、情報システムメーカーが取るべき対応とは何かを明らかにしていきます。

医療業界で増加するサイバー攻撃

 医療業界においても2018年ごろから、Web技術やクラウドサービスの利用が増え始めました。しかし、それに伴って医療業界におけるサイバー攻撃が増加傾向にあります。

 チェック・ポイント・ソフトウェア・テクノロジーズの「サイバーセキュリティ情勢2025」によると、2024年の病院/医療業界に対する攻撃は、グローバルで前年比47%の増加を記録しており、世界的にも医療業界のサイバーセキュリティ対策は、非常に重要な課題であることが分かります。

2024年における業界ごとの週平均攻撃件数の前年比変化率
2024年における業界ごとの週平均攻撃件数の前年比変化率(グローバル平均) 出所:チェック・ポイント・ソフトウェア・テクノロジーズ「サイバーセキュリティ情勢2025」より富士ソフトが作成

 国内の医療機関においてもセキュリティインシデントが発生しています。2022年10月31日に大阪の医療機関で起きたサイバー攻撃では、ランサムウェアへの感染により、電子カルテを含めた医療情報システムが利用できなくなり、救急診療や外来診療、予定手術などの診療機能に大きな支障が生じました。このインシデントは復旧に2カ月強を要し、病床数865床を誇る大規模病院であったことからも、調査/復旧費用で数億円以上、診療制限などの逸失利益は十数億円以上が見込まれました。

⇒大阪急性期・総合医療センター「インシデント調査報告書について」

 このような状況下で、医療機関および医療機関にシステムを導入する情報システムメーカーが考えなければならないのがサイバーセキュリティの確保です。政府としても、医療業界におけるセキュリティ対策の強化に向けた取り組みを推進しています。その一つが「3省2ガイドライン」です。なお、3省2ガイドラインでは、医療機関にシステムを導入する情報システムメーカーは「提供事業者」とされています。

3省2ガイドライン

 3省2ガイドラインとは、医療情報を安全に取り扱うためのガイドラインとして、厚生労働省、経済産業省、総務省から公開されている2つのガイドラインの総称です。

  • 厚生労働省:医療情報システムの安全管理に関するガイドライン(以下、安全管理ガイドライン)
  • 経済産業省/総務省:医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(以下、提供事業者ガイドライン)

 ここからはそれぞれのガイドラインについて説明します。

安全管理ガイドライン

 安全管理ガイドラインは、医療機関に向けたガイドラインです。2005年に「安全管理ガイドライン 第1版」が策定されてから改訂を繰り返し、2025年現在は「安全管理ガイドライン 第6.0版」が最新版です。

 本ガイドラインでは、医療情報システムの運用時に守るべき事項が、経営管理やシステム運用の観点などに分けて詳細に記載されています。

⇒「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」

 また、直近の2025年7月には「医療情報システムの安全管理に関するガイドライン改定について」が公開されており、また近々改訂が行われる予定となっています。

⇒「医療情報システムの安全管理に関するガイドライン改定について」

提供事業者ガイドライン

 「提供事業者ガイドライン」は提供事業者に向けたガイドラインです。2020年に「提供事業者ガイドライン 第1.0版」が策定されてから改訂を繰り返し、2025年現在は「提供事業者ガイドライン 第2.0版」が最新版です。

 ガイドラインの定義上は医療情報を扱うシステムを導入する場合を対象としていますが、実情としては、医療情報を扱わないシステムでも医療機関から本ガイドラインへの対応を求められる可能性があります。

 本ガイドラインはサイバーセキュリティ対策の指針の一つであり、準拠していることで一定のセキュリティを確保していることの基準になるためです。

 医療情報を扱うシステムに限らず、医療機関にシステムを導入する提供事業者は、本ガイドラインの内容を理解している必要があります。

 本ガイドラインには、提供事業者が守るべき安全管理措置や、医療機関との契約/責任分担、リスクマネジメントの実施方法などが記載されています。

⇒「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」

 そして、この提供事業者ガイドラインは、医療機関が安全管理ガイドラインに対応するために提供事業者側が対応するべきことを考慮したガイドラインです。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ
ページトップに戻る