6. 病院のサイバーセキュリティ対策は“コスト”ではなく“収益を守る基盤”になる|令和8年度診療報酬改定で重要性が増す理由
- Yuki
- 1 日前
- 読了時間: 3分
病院のサイバーセキュリティ対策は、これまで「必要なのは分かるが、直接収益を生まないコスト」と見られがちでした。
しかし、令和8年度診療報酬改定では、その位置づけが明らかに変わっています。厚労省の全体概要では、医療DX推進体制整備加算・医療情報取得加算を見直し、マイナ保険証、電子処方箋、電子カルテ共有サービス、サイバーセキュリティ対策等に係る新たな評価を新設すると整理されています。つまり、サイバーセキュリティ対策は、もはや“守りのコスト”ではなく、制度対応と経営の土台として見られる時代に入っています。
なぜ今、病院のサイバーセキュリティ対策が重く見られるのか
背景にあるのは、医療DXの進展です。厚労省は医療DXを、診察・治療・薬剤処方・診療報酬請求・地域連携まで含めた全体最適の基盤と位置づけています。情報がつながり、共有される範囲が広がるほど、そこを安全に運用する責任も重くなります。
さらに、令和8年度改定の議論では、適切な診療記録の管理を推進する観点から、「医療情報システムの安全管理に関するガイドライン」を踏まえ、非常時に備えたサイバーセキュリティ対策等の整備に係る要件及び評価を見直すという整理が示されています。これは、セキュリティが単なるIT部門の課題ではなく、診療報酬・診療継続・病院の信頼性に直結するテーマになったことを意味します。
サイバーセキュリティ対策で実際に問われること
病院のサイバーセキュリティ対策で問われるのは、機器やソフトの導入だけではありません。
重要なのは、組織として安全に運用できる状態を説明できることです。
具体的には、次のような項目が重要になります。
・アクセス権限の管理
・操作ログの管理
・バックアップ
・非常時対応
・委託先管理
・運用管理規程
・棚卸や見直しの記録
厚労省の医療情報システムの安全管理に関するガイドライン 第6.0版では、情報機器やソフトウェアの棚卸手順、IoT機器利用時のリスク分析と運用管理規程、委託事業者におけるインシデント時の考え方などが整理されています。
「対策している」だけでは弱い理由
ここで見落とされやすいのが、証拠の整理です。
実際には対策していても、
・規程は別の場所
・台帳は担当者PC
・点検記録は紙
・委託先評価はメール
・バックアップ手順は口頭運用
という状態では、“対策している”を説明しにくくなります。
これからの病院経営では、サイバーセキュリティ対策を「やっているか」ではなく、必要な場面で証拠として提示できるかが大きな差になります。制度対応、監査対応、院内説明、委託先管理のどれを取っても、証憑が散らばっている状態は弱いです。
サイバーセキュリティ対策は“収益を守る基盤”
サイバーセキュリティ対策は、直接売上を増やす施策ではありません。
けれど、診療停止、信頼低下、制度対応遅延、加算機会の逸失を防ぐという意味では、収益を守る基盤です。
特に令和8年度診療報酬改定では、サイバーセキュリティ対策が評価項目に明示されたことで、「やった方がよい」から「やらないと不利」へと一段階進みました。
365Registryで病院のサイバーセキュリティ対策を“説明できる状態”へ
365Registryは、病院のサイバーセキュリティ対策に必要な規程・台帳・記録・委託先資料・手順書を、揃える・回す・出す状態へ変えるための基盤です。
重要なのは、対策していることそのものではなく、
必要な時に、必要な証拠を、すぐ出せること。
それが、これからの病院に求められるサイバーセキュリティ対応です。
病院のサイバーセキュリティ対策を、“コスト管理”で終わらせない。
365Registryで、制度対応と診療継続を支える“説明できる基盤”を整えませんか。
コメント