厚労省、令和7年度版「医療機関におけるサイバーセキュリティ対策チェックリスト」を公表
- #制度
- #DX
厚生労働省は、2025年5月に「令和7年度版 医療機関におけるサイバーセキュリティ対策チェックリスト」および「令和7年度版 医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル」を公表しました。このチェックリストは、ランサムウェアなどのサイバー攻撃などから診療体制を守るために、すべての医療機関に向けて示されたものです。
令和7年度版チェックリストのポイント
医療機関等におけるサイバーセキュリティ対策については、厚生労働省が作成している「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」を参照の上、適切な対応を行うこととされていますが、このうち、まずは医療機関等が優先的に取り組むべき事項がチェックリストにまとめられています。
特に中小規模のクリニックや訪問診療クリニックにおいては、専門のIT部門がないケースも多く、基本的な対策をチェックリストで一つひとつ確認しながら対応していくことが求められます。
令和7年度版のチェックリストでは、最近のサイバー攻撃で明らかになった医療機関等側の問題点を踏まえて、以下の点が追加・修正されています。
【追加項目】
- パスワードの桁数の規定、使い回しの禁止
端末PCのログインパスワードのみならず、サーバやネットワーク機器のパスワードが推定しやすいものであると、サイバー攻撃の起点となります。サーバ、ネットワーク機器のパスワードを事業者が管理している場合、医療機関等は事業者確認用チェックリストを用いて、事業者の設定、運用しているパスワードがガイドラインの要件を満たすものであるかを確認する必要があります。 - USBストレージ等の外部接続機器に対する接続制限
記録媒体や情報機器等の利用は、持ち出し先での紛失や盗難のほか、医療情報システムの端末PCやサーバにUSBストレージ経由での不正ソフトウェア混入が想定されます。 他の医療情報システムや医療機器等にマルウェア感染が広がる事を防ぐべく、USB ストレージ等の外部接続機器に対して接続の制限を行う必要があります。 - 二要素認証の実装(令和9年度までの導入を目標)
令和9年度時点で稼働していることが想定される医療情報システムを、新規導入または更新するに際しては、二要素認証を採用するシステムの導入、またはこれに相当する対応を行うことを求めています。二要素認証の導入・改修にあたっては、一定程度の費用が見込まれますので計画的なシステム更新を推奨します。 - 運用管理規程等の整備
チェックリストには、「サイバーセキュリティに関する運用規程が整備されているか」も確認項目として追加されています。これは「万が一のときの対応手順」などを院内ルールとして明文化することを意味します。
例えば、
ー医療情報システムの利用ができる機器の管理方法
ー医療情報システムに異常が生じた場合の対応
ー職員の情報セキュリティなどに関する教育や訓練に関すること
などが挙げられ、経営層や企画管理者が管理できるようにすることが求められます。
【その他の修正】
- アクセス利用権限の設定について、管理者権限の対象者を明確化
- セキュリティパッチ適用に関する項目を「医療情報システム全般」の質問へ統合
訪問診療クリニックがすべきこと
近年、サイバー攻撃により電子カルテが利用できなくなり、診療を一時停止せざるを得なかった病院もありました。中小規模のクリニックにおいても、診療の停止や患者情報の漏洩は、経営に深刻な影響を及ぼすリスクであることに変わりはありません。
こうしたリスクに備えるためにも、まずは令和7年度版のチェックリストを活用して、自院のサイバーセキュリティ対策状況を自己点検しましょう。点検の結果、不足している項目や改善が必要な点があれば、「いつまでに対応を完了するか」といった目標日を設定し、計画的に対応を進めることが重要です。対策の実施にあたっては、システムベンダーなどの外部事業者と連携しながら、現実的かつ着実に取り組んでいくことが求められます。
なお、小規模な医療機関(診療所、歯科診療所、薬局、訪問看護ステーションなど)では、専任の情報管理担当者が不在で、院長や事務長が安全管理を兼任していることも少なくありません。このような状況では、厚生労働省が定める「医療情報システムの安全管理に関するガイドライン」をすべて理解し、自院に必要な対策を選定・実行するのは容易ではないのが実情です。
そこで厚労省は、小規模医療機関等が必要な安全管理対策を把握しやすくするために、「[特集] 小規模医療機関等向けガイダンス」を公表しています。訪問診療クリニックにおいても、このようなガイドラインを活用しながら、自院の実情に即したセキュリティ対策を進めていくことが重要です。
参考)厚生労働省|医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)
