【医療業界動向コラム】第140回 令和7年5月版のサイバーセキュリティ対策チェックリストが公表

令和7年5月16日、厚生労働省の「医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）」のページに令和7年5月版の医療機関・薬局におけるサイバーセキュリティ対策チェックリストが公表されている（図1）。

 

図1_医療機関のサイバーセキュリティ対策チェックリスト（※画像クリックで拡大表示）

見直しのポイント

既存の項目内に追記が一か所、5つの項目が新たに追加となり、確認日の項目が新設されている。パスワードの使いまわし対策、USBメモリ等の利用に対する対応、二段階認証の導入がポイントだ。

・パスワードの使いまわしについて

今回の見直し案では、パスワードの桁数や文字種など駆使して強固なパスワードとすることなどを推奨している。パスワードを忘れないようにパソコンの周辺にパスワードを書いた付箋を貼っている場面をよく目にするが、それは避けるようにしなければならない。メモ帳やスマホなどに記録しておくようにしたり、付箋に書いて貼るにしてもパスワードの1～3文字だけでも伏せておくのをお勧めしたい。

・USBメモリ等の利用について

サイバーセキュリティ事故は外部からのアタックばかりに目がいきがちだが、内部から起きていることが多い。情報の持ち出しをきっかけにしたもの、自宅で感染したストレージを院内に持ち込んでしまうなど。また、院内の情報の持ち出し等については台帳を作り、定期的に状況を確認することをお願いしたい。特定の職員が短期間で頻回に情報を持ち出していないか、同じ情報を何度も持ち出していないか、などを定期的に確認し、必要に応じて面談などすることをお勧めしたい。職員は不快に思うかもしれないが、医療機関を守るだけではなく、その職員を守る（変な疑いをかけられないためや事故を未然に防ぐ）という観点から大事なことだ。

・二段階認証の導入

令和9年度以降も使用するシステムについては、二段階認証の導入を速やかに行いたい。令和9年度までに更新するのであれば、その更新のタイミングで導入を計画的に行う必要がある。

薬局についても同様に見直されている。薬局は、令和5年の薬機法改正でサイバーセキュリティヘの対応が必須となっており、連携強化加算・医療DX推進体制加算でも本チェックリストの利用が必須となっている。

BCPも改めて確認を

なお、今回のチェックリストの見直しを受け、策定されているBCPの見直しが必要ないかを確認したい。なお、BCPと一口に言っても、今回のサイバーセキュリティ事故発生時だけではなく、新興感染症発生時と災害発生時のBCPもある。またいつパンデミックや自然災害等が発生するかわからない中で、職員全員にBCPを常に意識してもらうのはなかなか難しい。そこで、定期的な訓練（図2）や自院内での広報活動が重要になる。例えば、毎年9月9日の「救急の日」などに訓練を行うなど自院の恒例行事にするといった広報活動を行うことなど検討し、自院だけではなく、近隣の医療機関・薬局との合同訓練を企画し、地域を挙げた取組も検討したい。医療を止めないためにも、周囲の協力を得ることは必要だ。

 

図2_BCPに関する訓練の例（※画像クリックで拡大表示）