検索
連載

医療機関へのシステム導入におけるセキュリティ対策、提供事業者は何をすべきか医療サイバーセキュリティ最新動向(2/2 ページ)

本稿は、医療機関にシステムを導入する際に必要不可欠となるサイバーセキュリティ対策について、情報システムメーカー(提供事業者)が取るべき対応を解説する。

Share
Tweet
LINE
Hatena
前のページへ |       

医療機関に対するサイバーセキュリティの義務化

 このように、政府はガイドラインの整備を通じて、医療機関に対するセキュリティ対策を示しています。しかし、実態としては医療機関に対するサイバー攻撃が増加しており、それに伴う被害も発生しているのです。

 ガイドラインは2005年という比較的早い段階から存在していましたが、あくまで指針であり、法的拘束力を持つものではなかったため、十分に認知されていなかったのかもしれません。

 このことから政府は、サイバーセキュリティ対策に関する取り組みの実効性を高める必要があると考え、2023年3月に「医療法施行規則の一部を改正する省令(令和5年厚生労働省令第20号)」を公布し、2023年4月から施行されることを通知し、医療機関に対してサイバーセキュリティの確保を義務付けました。

 また本通知では、留意事項として「最新の『医療情報システムの安全管理ガイドライン』を参照の上、サイバー攻撃への対策を含めセキュリティ全般について適切な対応を行うこと」が示されました。

サイバーセキュリティ対策チェックリスト

 このように、医療機関におけるサイバーセキュリティ対策が義務化されたものの、「安全管理ガイドライン」の内容が、詳細かつ多岐にわたるため、サイバーセキュリティに関する知見がない医療機関では対応が困難でした。

 そこで政府は、医療機関が、サイバーセキュリティのステップを少しでも進めていけるように、2023年6月、セキュリティ対策において優先的に着手すべき十数個の項目を示した「医療機関におけるサイバーセキュリティ対策チェックリスト」を公開しました。まずはこれを足掛かりとして医療機関にサイバーセキュリティ対策に取り組んでもらう、というのが厚生労働省の目的であったと考えられます。

 なお、本チェックリストは「医療機関確認用」と「事業者確認用」の2種類に分けられているため、「医療機関」と「医療機関に情報システムを提供する提供事業者」がそれぞれ確認する必要があります。また、2023年6月19日発表の「医療法第25条第1項の規定に基づく立入検査要綱の一部改正について」によって、各都道府県で実施される医療機関への立ち入り検査で本チェックリストが確認されることとなりました。

 そして、本チェックリストの項目において、医療機関は、提供事業者から「製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)」を提出してもらったかを問われるため、提供事業者にMDS/SDSの提出を求めるようになりました。

 提供事業者は、医療機関から提出を求められたときのために、本チェックリストおよびMDS/SDSを事前に用意しておく必要があります。

MDS/SDSだけでは不足?

 MDS/SDSとは、安全管理ガイドラインに対する医療情報システムの適合状況を記載するためのチェックリストです。安全管理ガイドラインに基づくため、MDS/SDSを作成するには、前提として同ガイドラインへの理解が必要になります。

 MDS/SDSを利用すれば、提供事業者は安全管理ガイドラインへの対応状況を示すことができます。医療機関はMDS/SDSを提供事業者から受け取って、同ガイドラインへの対応状況を容易に把握できるようになるのです。

 ただし本来は、安全管理ガイドラインへの対応状況を示すには、提供事業者ガイドラインに準拠した上でMDS/SDSを利用して示すべきです。しかしながら、サイバーセキュリティ対策チェックリストの項目にあるのはMDS/SDSの提出のみです。

 このため、提供事業者ガイドラインが求めるセキュリティ対策が行われていないという実態があると推測しています。

医療機関にシステムを導入する情報システムメーカーが取るべき対応とは

 以上を踏まえると、医療機関に対して提出しなければならないMDS/SDSの作成は重要ですが、MDS/SDSはあくまで安全管理ガイドラインへの対応状況を確認するためのチェックリストにすぎません。MDS/SDSそのものには、安全管理ガイドラインに対応するために、提供事業者である情報システムメーカーがどのような対応をすればいいのか、具体的な対応方法は示されていません。

 安全管理ガイドラインに対応するために、情報システムメーカーとして何をする必要があるのか、これを示しているのは提供事業者ガイドラインです。

 だからこそ、情報システムメーカーは提供事業者ガイドラインに従って対応を進めることで、安全管理ガイドラインに準拠した上でMDS/SDSに対応できるのです。「医療機関から提出を求められてしまうから、取りあえずMDS/SDSのチェックだけして提出しよう」といった形式だけの対応で形骸化してしまわないよう、MDS/SDSの本来の意図を理解し、正しい対応をすることが重要です。

  • 【提供事業者が取るべき対応】
    • 「提供事業者ガイドライン」への準拠
    • 「MDS/SDS」の作成
    • 「サイバーセキュリティ対策チェックリスト」の作成


 医療分野のサイバーセキュリティの動向と、提供事業者が取るべき対応について説明しました。サイバー攻撃を巡る技術の高度化は日進月歩であり、センシティブな情報を取り扱う医療分野においてはサイバーセキュリティの確保は必須事項です。提供事業者は、サイバーセキュリティの重要性とそのために必要な対応について正しく理解し、医療システムのセキュリティを強化していく必要があります。本記事が読者のサイバーセキュリティ対策の一助となることを願います。

筆者プロフィール

伊藤 健(いとう けん)
富士ソフト システムインテグレーション事業本部 インフォメーションビジネス事業部 第2技術部 IoMT推進グループ 課長/フェロー

富士ソフトで多くの医療機器/医療情報システム開発に従事し、医療業界のさまざまな知見を獲得。同社内にて、医療機器/医療情報システム開発に必要となる各種サービス/ソリューションの立ち上げなど、市場の動向に合わせたサービスを企画、推進している。自身としても医療の法規制に関するコンサルタントとして活動している。


佐々木 倫央(ささき ともひさ)
富士ソフト システムインテグレーション事業本部 インフォメーションビジネス事業部 第2技術部 IoMT推進グループ

医療情報システムメーカーを対象として、医療情報を安全に取り扱うための「3省2ガイドライン」に対応するためのコンサルティングをはじめ、医療機器サイバーセキュリティへの対応等、医療領域のセキュリティ向上のためにコンサルタントとして活動している。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る