医院長・事務長が知るべき医療機関のサイバーセキュリティ対策|医療DX・電子カルテ・BCP対応
- Yuki
- 5月25日
- 読了時間: 12分
医療DX時代に病院が見直すべきサイバーセキュリティ対策
「うちは大きな病院ではないから大丈夫」「電子カルテはベンダーに任せているから問題ない」「セキュリティ対策は必要だが、予算がない」「サイバー攻撃はIT部門の問題だ」
これまで、多くの医療機関では、サイバーセキュリティ対策が“後回し”になりがちでした。
しかし、医療DXが進むこれからの時代において、サイバーセキュリティは単なるITコストではありません。
電子カルテが止まる。画像システムが見られない。会計ができない。紹介状や検査結果が確認できない。救急や入院の受け入れに支障が出る。
こうした事態は、医療機関にとって単なるシステム障害ではなく、患者の命に関わるBCPの問題です。
厚生労働省も、医療機関等におけるサイバー攻撃の脅威が高まっていることを踏まえ、「医療情報システムの安全管理に関するガイドライン」や「医療機関等におけるサイバーセキュリティ対策チェックリスト」を示し、医療機関・薬局・医療情報システム事業者に対してチェックリストを活用した対策を求めています。
本記事では、365メディカルの視点から、医療DX時代に医療機関が押さえるべきサイバーセキュリティ対策の核心を、病院長・事務長向けにわかりやすく整理します。
1. セキュリティ対策は「余計なIT費用」ではなく、診療継続のインフラになる
これまで医療機関にとって、サイバーセキュリティ対策はどうしても後回しになりがちでした。
理由は明確です。
診療報酬に直接結びつきにくい。患者に見えにくい。投資効果を説明しにくい。専門人材がいない。既存ベンダー任せになっている。補助金がなければ予算化しにくい。
しかし、この前提は変わり始めています。
医療DXの進展により、電子カルテ、オンライン資格確認、電子処方箋、電子カルテ情報共有サービス、クラウド型システム、予約・問診・会計システムなど、医療機関の運営はデジタル基盤に大きく依存するようになっています。
つまり、サイバーセキュリティは、もはや「治療に直接関係しないIT費用」ではありません。
診療を止めないためのインフラです。
また、令和8年度診療報酬改定では、病院用の施設基準届出チェックリストにおいて「電子的診療情報連携体制整備加算」が新設項目として示されています。医療DXに関する体制整備は、診療報酬や施設基準の世界ともより密接に結びついてきています。
ここで重要なのは、診療報酬が「直接セキュリティ人材を雇うための費用」として設計されているわけではないとしても、医療DX体制の整備・維持が評価される流れの中で、医療機関はIT基盤、情報連携、セキュリティ、運用記録を一体で管理する必要が高まっているという点です。
これからの病院経営では、セキュリティ対策を「できればやるもの」ではなく、医療DXを維持するための必要経費として位置づける必要があります。
2. 「野良VPN」「不明な外部接続」を放置しない
医療機関のネットワークで大きな問題になりやすいのが、外部接続の管理です。
医療機器メーカー。電子カルテベンダー。画像システムベンダー。検査機器ベンダー。保守会社。委託業者。遠隔保守用の接続。一時的に作ったVPN。誰が管理しているのか分からない通信経路。
こうした接続が、病院側で十分に把握されないまま残っているケースがあります。
いわゆる「野良VPN」や、管理されていない外部接続です。
医療機関にとって怖いのは、攻撃者が正面玄関から入ってくるとは限らないことです。むしろ、古いVPN、保守用の接続、権限管理が甘いアカウント、使われなくなった接続経路などが、侵入口になる可能性があります。
厚生労働省は、令和7年度においても「医療機関におけるサイバーセキュリティ確保事業」として、外部ネットワークとの接続の安全性の検証・検査や、オフライン・バックアップ体制の整備を支援する事業を実施する予定であることを示しています。
これは、国としても、医療機関の外部接続とバックアップ体制を重要な対策ポイントとして見ていることを意味します。
病院長・事務長がまず確認すべきことは、難しい技術論ではありません。
院内ネットワーク構成図はあるか
どのベンダーが、どの回線で接続しているか
VPNやリモート保守接続の一覧はあるか
退職者や旧担当者のIDが残っていないか
二要素認証は使われているか
外部接続の責任分界点は契約書に明記されているか
バックアップはネットワークから切り離されているか
これらを把握するだけでも、セキュリティ管理の第一歩になります。
今後は、ベンダーに対しても、病院側が「この条件を満たしてください」と言える状態を作ることが重要です。
そのためには、RFP、契約書、保守仕様書、ネットワーク構成図、アカウント管理表、接続申請書などを整理しておく必要があります。
3. 高価な専門人材だけに頼らない。訓練とシミュレーションで底上げする
サイバーセキュリティというと、高度な専門人材がいないと対応できないと思われがちです。
もちろん、専門家の支援は重要です。
しかし、多くの医療機関では、専任のセキュリティ人材を常時雇用することは簡単ではありません。
そこで重要になるのが、訓練とシミュレーションです。
どれだけ高価なセキュリティ製品を導入しても、実際にインシデントが起きたときに、
誰が院長に報告するのか。誰が電子カルテベンダーに連絡するのか。誰が行政へ報告するのか。救急受け入れを続けるのか停止するのか。紙運用に切り替えるのか。患者への説明は誰が行うのか。どの時点で外部専門家に依頼するのか。
こうした判断ができなければ、現場は混乱します。
医療サイバーセキュリティ協議会(MedCSC)は、人材育成支援ツールとしてHCAREを紹介しており、チャットを通じた医療機関等のサイバー・データ統制のアセスメントや成熟度評価を支援するツールと説明しています。
また、MedCSCのHCARE関連ページでは、ランサムウェア感染などのサイバー攻撃が発生した状況を疑似体験し、インシデント対応力を鍛え、評価するシミュレーション機能も紹介されています。
ここで大切なのは、サイバーセキュリティ教育を「eラーニングを受けて終わり」にしないことです。
医療機関に必要なのは、座学だけではなく、実際の病院運営を想定した訓練です。
電子カルテが止まった場合
画像システムが使えない場合
会計システムが停止した場合
ランサムウェア感染が疑われる場合
ベンダーと連絡が取れない場合
患者説明が必要になった場合
行政・警察・保健所への連絡が必要な場合
これらを、院長、事務長、医師、看護師、情報システム担当、医事課、外部ベンダーが一緒に訓練することが重要です。
つまり、サイバー対策は「IT担当者の技術訓練」ではありません。
病院全体の意思決定訓練です。
4. 国の支援は「自助努力がある医療機関」から優先される
医療機関のサイバーセキュリティ対策には、国の支援もあります。
ただし、すべての病院が同じタイミングで同じ支援を受けられるわけではありません。
厚生労働省の事務連絡では、令和7年度の「医療機関におけるサイバーセキュリティ確保事業」について、支援対象として「電子カルテシステムを導入している病床数20床以上の病院」などの条件が示されており、都道府県を通じて支援対象病院の選定が進められています。
ここから読み取れるのは、国の支援は、一定の条件や優先順位に基づいて実施されるということです。
支援を受けやすい医療機関とは、単に「困っています」と言える病院ではありません。
むしろ、
電子カルテを導入している
ネットワーク構成を把握している
外部接続の一覧がある
バックアップ方針がある
セキュリティチェックリストに取り組んでいる
必要な資料を提出できる
都道府県や関係機関と連携できる
といった、自院の状況を説明できる病院です。
これは、補助金や支援事業にも共通する考え方です。
制度が出てから慌てて資料を探すのではなく、平時からネットワーク構成図、契約書、保守体制、アカウント管理、バックアップ状況、点検記録を整理しておくことが、結果として支援を受けやすい体制につながります。
5. 最新ツールよりも重要なのは「ガバナンスの正常化」
サイバーセキュリティ対策というと、つい製品名やツールに目が向きます。
EDRを入れれば安心。SOCを契約すれば安心。ウイルス対策ソフトを更新すれば安心。バックアップ装置を買えば安心。
もちろん、これらは重要です。
しかし、ツールを入れるだけで病院が安全になるわけではありません。
最大の問題は、自院のシステムとネットワークを、病院側が把握できていないことです。
どのシステムがどこにつながっているのか。誰が管理者権限を持っているのか。どのベンダーがリモート接続しているのか。障害時に誰へ連絡するのか。契約上の責任分界点はどこか。バックアップはどこにあり、復旧手順は誰が知っているのか。紙運用への切り替え手順はあるのか。
これが分からない状態では、どれだけ高価なツールを入れても、実際のインシデント時に機能しません。
厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」では、医療情報システムの安全管理について、医療機関、薬局、医療情報システム・サービス事業者がチェックリスト等を活用して取り組むことが示されています。
つまり、求められているのは、単なるツール導入ではありません。
経営層が情報システムのリスクを把握し、外部委託先を管理し、運用記録を残し、インシデント時に判断できる体制を作ることです。
これが、ガバナンスの正常化です。
6. 病院長・事務長が今すぐ確認すべきチェックリスト
医療DX時代のサイバーセキュリティ対策として、病院長・事務長がまず確認すべき項目を整理します。
① ネットワーク・外部接続
最新のネットワーク構成図があるか
外部接続しているベンダー一覧があるか
VPN、リモート保守、クラウド接続の一覧があるか
不明な回線や旧接続が残っていないか
二要素認証やアクセス制限が設定されているか
② アカウント管理
管理者IDの一覧があるか
退職者・異動者のIDを削除しているか
共用IDが放置されていないか
権限の見直しを定期的に行っているか
ログ確認のルールがあるか
③ バックアップ・復旧
オフラインバックアップがあるか
復旧手順が文書化されているか
復旧テストを実施しているか
電子カルテ停止時の紙運用手順があるか
どの業務を優先復旧するか決めているか
④ 契約・責任分界点
ベンダーとの契約書にセキュリティ要件があるか
障害・インシデント時の連絡先が明確か
保守範囲と責任範囲が明記されているか
再委託先の有無を把握しているか
RFPや仕様書にセキュリティ要件を入れているか
⑤ 訓練・BCP
サイバー攻撃を想定した訓練を行っているか
院長・事務長・医療職・情報担当・医事課が参加しているか
インシデント発生時の意思決定ルートがあるか
行政・警察・保健所・ベンダーへの連絡手順があるか
訓練結果を改善計画に反映しているか
このチェックリストは、完璧にできているかを責めるものではありません。
重要なのは、できていない項目を見える化し、改善計画に落とし込むことです。
7. 365メディカルが考える実務対応
365メディカルでは、医療機関のサイバーセキュリティ対策を、単独のIT対策ではなく、医療DX・BCP・証憑管理・バックオフィス整備を含めた経営課題として捉えるべきだと考えています。
特に重要なのは、次の3つです。
1つ目:現状を見える化する
まずは、自院のネットワーク、外部接続、アカウント、バックアップ、ベンダー契約、運用記録を整理します。
ここが見えなければ、対策の優先順位を決められません。
2つ目:対策を台帳化する
セキュリティチェックリスト、点検記録、訓練記録、ベンダー契約、ネットワーク構成図、バックアップ記録を台帳化します。
これにより、院長・事務長が「どこまで対応できているか」を確認しやすくなります。
3つ目:BCPとして訓練する
セキュリティ対策は、規程を作って終わりではありません。
電子カルテが止まったときにどうするか。患者対応をどうするか。救急を止めるのか続けるのか。会計や処方をどうするのか。どの順番で復旧するのか。
これを多職種で訓練し、改善していくことが必要です。
まとめ:医療DX時代のセキュリティは、患者の命を守る経営課題
医療DXは、単なる事務効率化ではありません。
電子カルテ、オンライン資格確認、電子処方箋、電子カルテ情報共有サービス、クラウドシステム、AI、RPAなどが広がるほど、医療機関はデジタル基盤に依存するようになります。
その一方で、サイバー攻撃やシステム停止が起きたときの影響も大きくなります。
これからの医療機関に必要なのは、最新ツールを入れることだけではありません。
自院のネットワークを把握する
外部接続を管理する
ベンダーとの責任分界点を明確にする
バックアップと復旧手順を整える
サイバー攻撃を想定した訓練を行う
チェックリストや証憑を台帳化する
経営層がリスクを理解し、判断できる体制を作る
こうした「当たり前のこと」を、病院全体で実行できるかどうかが問われています。
セキュリティ対策は、IT部門だけの仕事ではありません。患者の命を守り、診療を止めないための経営課題です。
365メディカルでは、医療DX、制度対応、証憑管理、BCP、バックオフィス整備を通じて、医療機関がサイバーセキュリティを“運用できる仕組み”として整備できるよう支援していきます。
参考・参照
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」
厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリスト 令和7年度版」
厚生労働省「医療機関におけるサイバーセキュリティ確保事業」関連事務連絡
厚生労働省「令和8年度診療報酬改定に係る施設基準届出チェックリスト」
医療サイバーセキュリティ協議会(MedCSC)「HCARE」関連資料
免責事項
本記事は、厚生労働省等が公表している資料および関連情報をもとに、医療機関向けにサイバーセキュリティ対策の方向性をわかりやすく整理した一般的な情報提供です。実際のセキュリティ対策、システム導入、補助金活用、診療報酬算定、法令対応、インシデント対応については、必ず最新の厚生労働省資料、関係通知、事務連絡、専門家の助言等をご確認ください。
コメント