【医療業界動向コラム】第92回 令和6年度版サイバーセキュリティ対策チェックリストが公表される。バックアップの取得に関する考え方を確認

※このコラムは2024年5月24日時点の情報をもとにしております。

令和６年度版「医療機関におけるサイバーセキュリティ対策チェックリスト」が厚生労働省より公表され、都道府県や医師会等の医療関連団体に通知されている。昨年度中に対応すべきとされていた項目の確認などで構成されている（図1）。

このチェックリストは、医療法第 25 条第１項に基づく立入検査で、病院、診療所および助産所においてサイバーセキュリティ確保のために必要な取組を行っているかを確認するために使用される（立入検査では「医療機関確認用」、「事業者確認用」の全ての項目について、１回目の確認の日付と回答等が記入されていることを確認する）。

また、このチェックリストを利用するための「令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリストマニュアル」も用意されている（図2）。マニュアルの最後はBCP計画の策定（3-(3).サイバー攻撃を想定した事業継続計画（BCP）を策定している。）について記載があるが、今後、改めて手引きが作成・公表されるとのことだ。

サイバーセキュリティ対策については令和6年度診療報酬改定においても対応されることとなり、診療録管理体制加算が見直され、加算が2区分から3区分へと変更（旧加算1が新加算2へ、旧加算2が新加算3へ）となった（図3）。

ポイントは、医療情報システム安全管理責任者の配置について、加算1と2で許可病床400床以上から200床以上へと対象を拡充したこと（加算3の場合は配置の要件はなし）。そして、「医療情報システムの安全管理に関するガイドライン」を踏まえたサイバーセキュリティ対策の整備として、非常時に備えたバックアップやBCP（業務継続計画）の策定を求めている。令和６年3月28日に発出されている疑義解釈（その1）では、バックアップ等に関する考え方などについて記されている。一部だけだが抜粋、編集した上で紹介したい。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

Q.バックアップし、オフラインで保管する非常時に備えた医療情報システムとは？

A.非常時において継続して診療が行えるために最低限必要なシステムを想定。電子カルテシステム、オーダーリングシステムやレセプト電算処理システムを指す。

Q.バックアップを複数の方式で確保、とは具体的にどのようなものか？

A.例えば、HDDとRDX（Removable Disk Exchange system）、クラウドサービスとNAS（Network Attached Storage）など複数の媒体でバックアップを保存することなどが考えられる。

Q.日次でバックアップを行う場合、数世代（少なくとも３世代）確保する等の対策を行うこと。」とあるが、世代管理について、日次のバックアップは、差分のバックアップでよいのか。また、週次、月次のバックアップはどのように考えればよいか。

A.週次や月次の世代管理・方法については、病院の規模やバックアップの方式等によって異なることから一概に示すことが難しいが、緊急時に備えるために適した方法でリスクを低減する対策を講じること。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

なお、「「医療情報システムの安全管理に関するガイドライン 第6.0版」 に関するＱ＆Ａ」では、バックアップの取得について、以下のように記されている。

「～日次で差分バックアップ、週次でフルバックアップを行う場合、前々週以前のフルバックアップ及びその週以前の日時の差分バックアップは、ネットワークから切り離した記録媒体で保管すること（磁気テープ、DVD、Blu-Ray 等）あるいは論理的に書き込み禁止（磁気ディスク等）の状態にする等の対策が必要となります。

　 最近ではクラウドサービスを利用したバックアップを行うことも考えられます。例えば、原本データ以外にクラウド上でバックアップを取得する場合、バックアップデータを追記できない設定としたり、複数のバックアップデータを取得したりするなどの方式で、複数方式によるバックアップを行うことが想定されます。

　また電子カルテ、医事システム、LIS、RIS（PACS含む）等のサブシステムがそれぞれデータベースを持つ場合、それぞれについてシステム特性やデータの影響度を鑑みて、バックアップ取得の計画を策定することになります。 具体的な例としては、電子カルテ、LIS等保存データがあまり大きくないサブシステムについては、日次でバックアップを確保し、電子カルテは５世代、その他のシステムは３世代保存するなどにより、前週までのデータを回復することが想定されます。この場合、ランサムウェア等の攻撃への対策という観点から、電子カルテで３世代以降のバックアップデータについては、ネットワーク的あるいは論理的に書き込み禁止属性とし、その他のシステムは３世代目をネットワーク的あるいは論理的に書き込み禁止とするなどが求められます。～」

今回の診療報酬改定は、医療ＤＸや地域医療情報連携ネットワークへの参画がテーマになり、今後もそうしたネットワークへの参画を前提とした地域医療・診療報酬となる。すべてがつながることを考えると、サイバーセキュリティ対策とは自院だけではなく、地域医療の問題ともなることを意識したい。