【医療業界動向コラム】第151回 医療情報システムの安全管理に関するガイドラインの改定の方向性と病院のサイバーセキュリティ対策の現況

 令和7年7月25日、第25回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループが開催された。医療情報システムの安全管理に関するガイドラインの改定の論点、病院におけるサイバーセキュリティ対策の現況調査の結果、マイナ救急（救急搬送患者のマイナ保険証を利用した医療機関での受入れ前の事前の情報連携）の実施等について議論されている。医療情報システムの安全管理に関するガイドラインの改定の論点と病院におけるサイバーセキュリティ対策の現況調査の結果について確認しよう。

医療情報システムの安全管理に関するガイドライン第6.0版の改定の方向性が示される

　令和5年5月に改訂された現行の第6.0版は、外部サービスの利用に関する整理や非常時における対策、本人確認を要する場面での運用の検討等を新たに反映させたものだった。昨今、サイバーセキュリティ対策への社会的な意識の高まりや生成AIサービスや各種クラウドサービスも多く登場しており医療情報の取り扱いなど注意を要する場面も増えてきている。今後、標準型電子カルテが登場してくれば、APIによる外部サービスの利活用も広がってくることが考えられ、サイバーセキュリティ対策を施しながらクラウドサービスを安全に利活用して、業務効率化を実現していく必要がある。

　そこで今回、医療情報システムの安全管理に関するガイドラインの改定の方針が以下のように示された
（図1、図2）。

図1　想定される改定内容①（画像クリックで拡大表示）

図2　想定される改定内容②（クリックで拡大表示）

　技術的なことももちろん大事だが、利用する医療機関側の理解と対応が何よりも重要だ。医療情報とは、その中身は患者のものであって、モノとしての医療情報は医療機関が責任をもって管理するものだが、サイバーセキュリティ対策に対しては、いまだに「コスト」という見方になっていて「投資」になっていないケースが多いと感じる。患者のものを守り抜くことができなければ、信用は失墜するとともに、地域医療全体に影響を与える（情報ネットワークでの障害、診療中断による他の医療機関での診療対応増による負担など）。ただ、診療報酬における支援も必要だ。

病院におけるサイバーセキュリティ対策の現状について

　令和7年1月27日（月）～令和7年3月7日（金）の期間で「病院における医療情報システムのサイバーセキュリティ対策に係る調査」が実施（調査対象は、G-MIS IDが付与されている、8,117の病院）されている。有効回答数は5,842（72.0%）施設（昨年度：65.5％）。主なポイントを確認してみよう。

・情報セキュリティを担当する責任者（CISO）の配置は73%（図3）

図3　CISOの設置について（クリックで拡大表示）

CISOで医療情報に関する何らかの資格（IPAによるITパスポートや基本情報技術者など）を有するのは約15%との結果だった。情報セキュリティ担当者以外のスタッフには、ITパスポートの資格取得までは求めないまでも、情報セキュリティに関する項目などは院内で学ぶ機会を持ってほしいと個人的に思う。

・インシデント発生時の対策チーム（組織内CSIRT）は42%の病院で配置（図4）

図4　インシデント発生時の対策チームの設置について（クリックで拡大表示）

　重大事故に至らないようにするためにも、医療安全の取組と同等に実施していくことが必要だ。院内情報の持ち出しルールの徹底・台帳作成と頻回な持ち出しのあるスタッフに確認をとる、個人のパソコンの持ち込みやポケットWIFIの利用なども注意したい。

・サイバーセキュリティ対策チェックリストの項目への対応状況

　～「医療情報セキュリティ開示書（MDS/SDS）を提出してもらう」、やや増加の傾向～（図5）

図5　医療情報セキュリティ開示書の対応（クリックで拡大表示）

　～BCPの策定、大きく増加している傾向～（図6）

図6　BCPの策定状況（クリックで拡大表示）

　～USBメモリ等の外部接続媒体を運用管理規程やシステムで制限している病院は83％～（図7）

図7 USBメモリ等の外部接続媒体等の運用管理規程やシステムによる制限の状況（クリックで拡大表示）

　～二要素認証を導入している病院の割合は11％～（図8）

図8 二要素認証の導入状況（クリックで拡大表示）

　令和9年度以降対応が求められるため、システムのリプレイスのタイミングを確認しながらできるだけ早期に対応をしておきたい。

　～サーバ、端末、ネットワーク機器の管理・セキュリティ対策対応～

　　※サーバ、端末PC、ネットワーク機器の台帳管理を行っている病院の割合は90％だが、
　　　100床未満の病院では83%と低い。
　　※ネットワーク機器に対して定期的にセキュリティパッチを適応している病院の割合は74％
　　※サーバ、端末PCに対して、定期的にセキュリティパッチを適応している病院の割合61%

・電子カルテシステムを使用している病院のうち、バックアップデータを作成している割合は97％

　　※電子カルテシステムのバックアップデータを作成している病院のうち、
　　　バックアップデータを３世代以上保管している割合は65％
　　※電子カルテシステムのバックアップデータを作成している病院のうち、
　　　オフラインでバックアップデータを保管している割合は、64％

　医療技術の進歩と同様に、医療情報に関する技術・サービス、サイバー攻撃も進歩し続ける。厚生労働省等の動向は必要最低限押さえておくべき情報としつつ、一般社会におけるICTテクノロジーの動向などは自ら収集するように習慣化しておきたい。