【医療業界動向コラム】第194回 医療情報システムの安全管理に関するガイドラインの改定に合わせて、サイバーセキュリティ対策チェックリストがアップデート

2026.07.09

医療情報システムの安全管理に関するガイドライン第7.0版と医療機関・薬局におけるサイバーセキュリティ対策チェックリスト(令和8年6月版)が公表されている。サイバーセキュリティ対策チェックリストは、都道府県による立入検査において対策状況の確認を求められることから、従来のチェックリストとの違いなどを確認しておきたい。

医療機関と事業者の責任分解の明確化、クラウドネイティブへの対応を推進

医療情報システムの安全管理に関するガイドライン第7.0版は、制度動向と技術・社会的な動向に対応するべく見直されている(図1)。また、保守委託機関編が新設されている。

図1 ガイドライン改定の背景・目的(厚生労働省 第32回健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ)(クリックして拡大表示)

制度的な動向というのは、国家サイバー統括室(NOC)による改定重要インフラのサイバーセキュリティに係る安全基準等策定指針と厚生労働省が推進するクラウドネイティブ型電子カルテの推進に合わせる、そして、医療機関と事業者の責任分解等を盛り込んだ厚生労働省と経済産業省による2省ガイドラインに対応するということだ(図2)。

図2 医療情報システムの安全管理に関するガイドラインの改定①(厚生労働省 第32回健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ)(クリックして拡大表示)

技術・社会的な動向というのは、前回掲載されていたパスワードルールに関して、使い回しの禁止などを追記、令和9年4月までに対応が求められる二要素認証に関する対象範囲が明記されている。医療機器の二要素認証については世界的に必須化されていないこともあり、改変は見送られている。今回の改訂では、クライアント端末及びサーバーで対応することと明記されている(図3)。

図3 医療情報システムの安全管理に関するガイドラインの改定②(厚生労働省 第32回健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ)(クリックして拡大表示)

サイバーセキュリティ対策チェックリストの変更点

今回から、医療機関確認用と薬局確認用が統合され、医療機関等確認用となった。医療情報システムの安全管理ガイドライン第7.0版に合わせて、チェックリストも見直されている。医療機関確認用では、二要素認証の対応を明確に記載している。パスワード要件についても文字数なども求めている一方で、定期変更要件が削除されている(図4)。

図4 令和8年度サイバーセキュリティ対策チェックリスト(医療機関確認用)
(厚生労働省 第32回健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ)(クリックして拡大表示)

事業者確認用では、事業者もBCP策定を盛り込んでいること、事業者と医療機関の責任分解を明確にするため、事業者ではなく医療機関側が責任を持つ「対象外」を拡充している(図5)。

図5 令和8年度サイバーセキュリティ対策チェックリスト(事業者確認用)
(厚生労働省 第32回健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ)(クリックして拡大表示)

電子的診療情報連携体制整備加算(入院)や機能強化加算などでBCPの策定が求められている。自然災害・パンデミック・サイバー攻撃の対応の3つで対応方針を明確に、その攻撃の結果起きうる停電や物資到着の遅れを見据えた医療用医薬品や診療材料の適正な備蓄と廃棄ロスを減らすための運用ルールを明確にしていくことが必要になる。サイバー攻撃に関しては、紙ベースでの運用などの訓練を定期的に行うことなども必要だ。

山口 聡 氏

HCナレッジ合同会社 代表社員

1997年3月に福岡大学法学部経営法学科を卒業後、出版社の勤務を経て、2008年7月より医業経営コンサルティング会社へ。 医業経営コンサルティング会社では医療政策情報の収集・分析業務の他、医療機関をはじめ、医療関連団体や医療周辺企業での医 療政策や病院経営に関する講演・研修を行う。 2021年10月、HCナレッジ合同会社を創業。https://www.hckn.work

連載記事に関連するコラム

資料をダウンロード

製品・ソリューションの詳細がわかる総合パンフレットを無料でご覧いただけます

ダウンロードはこちら
検討に役立つ資料をダウンロード

製品・ソリューションの詳細がわかる総合パンフレットを無料でご覧いただけます

ダウンロードはこちら