医療機関におけるサイバーセキュリティ対策は、今や業務継続と医療の安全を守るための不可欠な要件となりました。2023年の法改正によって実施が義務化され、診療データの保護だけでなく、患者の安全を守り、診療を継続できる体制を整えることが求められています。 ここでは、義務化の背景にある制度の動きと、医療現場が直面しているサイバーリスク、その対策のポイントを解説します。
医療機関のサイバーセキュリティ対策が義務化された背景とは
医療機関を狙うサイバー攻撃が増加し、診療停止や情報漏洩といった被害が全国で相次いでいます。厚生労働省は、2023年4月の医療法施行規則改正でサイバーセキュリティ対策を義務化しました。ここでは、法改正の経緯と医療現場における攻撃の実態を見ていきます。
医療法施行規則の改正と施行の経緯
2023年4月1日、医療法施行規則の改正により、病院・診療所・助産所などの医療機関に対し、サイバーセキュリティ確保のための措置が義務化されました。
医療機関が扱う患者情報や診療データは極めて機密性が高く、攻撃による漏洩や改ざんは社会的に重大な影響を及ぼします。
厚生労働省は、管理者に対して診療の継続に支障をきたさないよう必要な対策を講じることを求めています。これまでの「努力義務」から、法的責任を伴う「義務」へと変化したことで、医療機関は制度対応と実効性の両立を求められるようになりました。
病院等へのサイバー攻撃の急増とその影響
近年、ランサムウェアの被害にあう医療機関が急増しています。ランサムウェアは身代金目的による電子カルテの暗号化による診療停止や、個人情報の流出に追い込むことがあり、被害は深刻化しています。たとえば2021年には徳島県のつるぎ町立半田病院、2022年には大阪急性期・総合医療センターがランサムウェア攻撃を受け、外来診療や各種検査が停止するなどの、病院がサイバー攻撃を受ける事例があります。
医療機関では診療業務が優先されるため、システム更新や機器の入れ替えが後回しになることがあり、攻撃者にとって格好の標的となりやすい傾向があります。こうした状況を受け、国はこれを喫緊の課題と位置づけ、セイバーセキュリティ義務化に踏み切りました。
厚生労働省の「医療情報システムの安全管理に関するガイドライン(第6.0版)」概要
医療機関がセキュリティ対策を行ううえで、厚生労働省がサイバーセキュリティを含む指針を示す「医療情報システムの安全管理に関するガイドライン(https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html)」は最も重要な指針です。ここでは最新版である第6.0版の改定内容と、医療情報システムの範囲について解説します。
第6.0版の概要と改定のポイント(令和5年5月)
令和5年5月に公表された第6.0版では、近年のサイバーリスクや技術動向を踏まえた改定が行われました。クラウドサービスの活用、ゼロトラストの考え方、EDR(Endpoint Detection and Response)や多要素認証などの有効な手段が具体的に整理されています。また、外部委託先との契約や責任分担の明確化も求められています。
医療情報システムの定義と対象範囲
医療情報システムには、電子カルテや画像診断装置だけでなく、オンライン資格確認、予約システム、院内ネットワーク、さらにはクラウド型の外部サービスまで含まれます。このため、セキュリティ対策の対象は非常に広範囲です。たとえば、Wi-Fi環境の設定、USBメモリの使用制限、バックアップ体制の構築なども含まれます。
厚生労働省・行政による支援策と関連情報サイト
医療機関がサイバーセキュリティ対策を進める際は、行政が提供する教育支援や補助制度を活用することで、知識や費用のハードルを下げることができます。
セキュリティ教育支援ポータルサイトの活用
厚生労働省は、医療機関向けに「サイバーセキュリティ教育支援ポータルサイト(https://mist.mhlw.go.jp)」を公開し、教材や動画、チェックリストを無料で提供しています。フィッシングメールへの対応や、インシデント報告フローなどを学べる実践的な内容が充実しており、職員教育の基盤として有効です。
セキュリティ対策への補助金などの支援制度
医療機関がセキュリティシステムを導入する際、費用負担を軽減できる支援制度としてIT導入補助金(セキュリティ対策推進枠など)が活用可能です。条件を満たせば、バックアップソリューションやアクセス管理ツールなどの導入費用の一部が補助対象となります。認定事業者の支援を受けることで、申請もスムーズに進められます。
まとめ:医療機関が今すぐ取り組むべきセキュリティ対策とは
サイバーセキュリティ対策の義務化により、医療機関には迅速で計画的な対応が求められています。
まず、法令で定められた基本対応を把握し、現状の脆弱性を確認したうえで、バックアップ体制やアクセス管理、職員教育、BCP策定を優先的に進めることが重要です。また、自力での対応が難しい場合は、法令や厚生労働省のサイバーセキュリティについてのガイドラインに精通した専門家や業者と連携し、信頼性の高いソリューションを導入することで、安全性と診療継続性を効率的に両立できます。
