厚生労働省、令和7年度版 医療機関向けサイバーセキュリティ対策チェックリストを検討

2025年3月13日、厚生労働省の「健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ」の第24回会合が開催され、医療機関等におけるサイバーセキュリティ対策の強化について議論が行われた。特に、サイバー攻撃の増加を受け、セキュリティ対策のチェックリスト改訂案が提示され、今後の方針が示された。

厚生労働省においては、令和５年４月から、医療法に基づく医療機関に対する立入検査に、サイバーセキュリティ対策の項目を位置付けており、医療情報システムの安全管理に関するガイドラインから特に取り組むべき重要な項目を「医療機関におけるサイバーセキュリティ対策チェックリスト」等により示している。

今回の会合では、現行のチェックリストの一部を改訂し、令和7年度版「医療機関等におけるサイバーセキュリティ対策チェックリスト」および「サイバーセキュリティ対策チェックリストマニュアル」を発出する方針が示された。主な修正案は以下の通り。

【追加項目】

• パスワードの桁数の規定、使い回しの禁止
• USBストレージ等の外部接続機器に対する接続制限
• 二要素認証の実装（令和9年度までの導入を目標）
• 運用管理規程等の整備

【その他の修正】

• アクセス利用権限の設定について、管理者権限の対象者を明確化
• セキュリティパッチ適用に関する項目を「医療情報システム全般」の質問へ統合
  

また、これらの改定内容の詳細については、「サイバーセキュリティ対策チェックリストマニュアル」に適宜反映される予定。

厚生労働省は、医療機関や薬局におけるサイバーセキュリティ対策の重要性を引き続き強調し、改訂されたチェックリストの活用を促進する方針だ。特に、サイバー攻撃が医療現場に及ぼす影響が拡大する中、より実効性の高い対策の整備が求められている。令和7年度版のチェックリストの発出を契機に、医療機関における情報セキュリティ体制のさらなる強化が期待される。

参考）厚生労働省｜令和７年度版医療機関等におけるサイバーセキュリティ対策チェックリストについて（案）