2023年5月に改定された厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」、経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」、総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」──この3省2ガイドラインへの対応は、電子カルテ・レセコンを使うあらゆる医療機関の義務となっています。ランサムウェア攻撃による診療停止事例が年々増加するなか、「何をいつまでに・どのレベルで対応すれば良いか」を公的情報だけに基づいて整理しました。クリニック院長・医療情報担当者・委託先選定担当者が今すぐ使えるチェックリストと監査対応フローを提供します。
この記事で分かること
- 3省2ガイドラインの全体像と各ガイドラインの役割分担
- 2023年改定(第6.0版)での変更点と医療機関への影響
- 医療機関・クラウド事業者それぞれの対応義務
- 即使える対応チェックリスト(管理編・技術編・委託先管理編)
- 外部監査・行政指導対応のフローと準備書類
- クラウド事業者・委託先選定の評価ポイント
- 規模別の費用感と失敗事例、よくある質問10問
[PR]
1. 3省2ガイドラインとは何か──全体像と役割分担
「3省2ガイドライン」とは、医療分野の情報セキュリティを管轄する3省庁が策定した2種類のガイドライン群を総称した呼び方です。法令ではなくガイドラインですが、医師法・医療法・個人情報保護法の遵守義務と連動しており、実質的な準拠義務が生じます。
1-1. 3省の位置づけと管轄
| 省庁 | 管轄対象 | 主要ガイドライン |
|---|---|---|
| 厚生労働省 | 医療機関(病院・診療所・薬局等) | 医療情報システムの安全管理に関するガイドライン 第6.0版(2023年5月) |
| 経済産業省 | 医療情報を扱うシステム・サービス提供事業者 | 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(2023年7月) |
| 総務省 | クラウドサービス提供事業者全般 | クラウドサービス提供における情報セキュリティ対策ガイドライン 第3版(2024年1月) |
これら3省のガイドラインが対になって機能する枠組みを「3省2ガイドライン」と呼びます。「2ガイドライン」は、厚労省の医療機関向けガイドラインと経産省の事業者向けガイドラインを指し、総務省のクラウドガイドラインはその補完位置づけです。電子カルテ・レセコン・PACS・看護支援システムなどを導入・運用するすべての医療機関が厚労省ガイドラインの適用対象となります。
1-2. ガイドラインの法的位置づけ
医療情報システムの安全管理に関するガイドラインは、医師法第24条(診療録の記載・保存)、医療法第21条(病院の管理)、個人情報保護法(安全管理措置義務)の遵守を担保するための具体的指針です。違反即罰則という直接の法律ではありませんが、行政指導・改善命令の根拠となるほか、医療事故・情報漏洩時の民事責任や保険金支払い条件にも影響します。また、診療報酬の電子請求・オンライン資格確認・電子処方箋の利用要件にも準拠が前提とされているため、実質的な義務と考えることが適切です。
1-3. 対象となる医療機関の範囲
厚労省ガイドライン第6.0版は、「医療情報システムを保有・利用するすべての医療機関等」を対象とします。電子カルテ・レセコン・PACS・医事会計システム・看護支援システム・遠隔診療システムを1つでも利用していれば対象です。クリニック(無床・有床)・中小病院・大学病院を問いません。クラウド型システムを利用している場合は、システム提供事業者(経産省ガイドライン対象)との役割分担が明確化され、医療機関の責任範囲がより厳しく問われます。
2. 第6.0版の主な改定ポイントと医療機関への影響
2023年5月に公表された厚労省ガイドライン第6.0版は、第5.2版(2022年3月)から大幅に改訂されました。改訂の背景には、2021〜2022年の大規模医療機関へのランサムウェア攻撃、クラウドサービス普及による責任範囲の曖昧化、オンライン資格確認・電子処方箋の義務化拡大があります。
2-1. 章立て・構成の大幅再編
第6.0版では、従来の「概説」「各論」中心の構成から、「経営管理編」「企画管理編」「システム運用編」の3層構成に再編されました。この三層は、経営者(院長・理事長)・医療情報担当管理職(企画管理者)・情シス担当者(システム管理者)の役割分担を明確にするためのものです。経営者が安全管理の最終責任を持ち、担当者に丸投げしてはいけないことが明文化されました。
| 構成層 | 主な対象 | 記載内容 |
|---|---|---|
| 経営管理編 | 院長・理事長・管理者 | 安全管理体制の構築、経営判断事項、インシデント時の指揮 |
| 企画管理編 | 医療情報担当者・管理職 | リスクアセスメント、システム調達・契約、委託先管理 |
| システム運用編 | 情シス担当者・ベンダー | 技術的安全管理措置、アクセス制御、ログ管理、バックアップ |
2-2. クラウドサービス利用に関する要件の明確化
第6.0版における最大の変化のひとつが、クラウドサービス(特にパブリッククラウドのIaaS/SaaS)の利用要件です。「医療情報を外部保存する場合は、安全管理ガイドラインに適合した事業者を選択する」という従来の記述から踏み込み、「事業者が経産省ガイドライン・総務省ガイドラインへの適合性を対外的に示せるか確認する義務」が医療機関に課されるようになりました。具体的には、事業者が発行する適合確認書・準拠宣言書・第三者認証(ISO/IEC 27001、ISMS-クラウドセキュリティ、SOC2 Type2など)の確認が求められます。
2-3. インシデント対応・報告義務の強化
第6.0版では、サイバーインシデント発生時の対応フローが詳細化され、「医療機関が厚生労働省・NISC(内閣サイバーセキュリティセンター)・所管の地方厚生局に報告する」ことが明記されました。2022年10月の閣議決定「経済安全保障推進法に基づく重要インフラの安全確保」とも連動し、400床以上の病院は「重要インフラ事業者」として報告義務の対象となる可能性があります。中小医療機関でも、電子カルテやレセコンが2日以上使用不能になった場合には地方厚生局への報告が推奨されています。
2-4. サプライチェーン・委託先管理の明記
第6.0版では「委託先(クラウド事業者・SIer・保守ベンダー)のセキュリティ対策を医療機関が確認・評価する責任」が明記されました。委託先の情報漏洩・ランサムウェア被害で医療機関の患者情報が流出した場合でも、医療機関に安全管理措置義務違反が問われるリスクがあります。これは個人情報保護法の委託先監督義務(第25条)の医療情報版として機能します。
2-5. 最低限実施すべき「ガイドライン要求事項マトリクス」の提示
第6.0版では付表として「経営管理編・企画管理編・システム運用編のチェック項目一覧」が付属し、中小医療機関が最低限対応すべき項目が整理されました。クリニック規模では情シス専任担当者がいないケースが多いため、「外部委託で代替可能な項目」と「院内で意思決定が必要な項目」の切り分けが可能になっています。
3. 医療機関の対応義務──経営管理・企画管理・システム運用の3層
3省2ガイドラインへの対応義務は、一口に「セキュリティ対策を実施する」では不十分です。「誰が・何を・どの水準で実施・確認するか」の体制整備が求められます。以下に、三層ごとの義務内容を整理します。
3-1. 経営管理層の義務
院長・理事長・管理者(医療法上の管理者)は、医療情報システムの安全管理に関する最終責任者です。以下の事項は経営判断として実施が求められます。
- 情報セキュリティポリシーの策定・承認:「情報セキュリティ基本方針」を文書化し、院長が承認・署名する
- 安全管理体制の整備:企画管理者(医療情報担当)を任命し、権限と責任を明確化する
- 予算の確保:セキュリティ対策に必要な予算を確保し、担当者の判断だけで削減しない
- インシデント時の指揮:重大インシデント発生時の指揮命令系統を事前に決定しておく
- 年次レビューと改善:年1回以上、安全管理措置の見直しを行い、記録を残す
3-2. 企画管理層の義務
医療情報担当管理職(企画管理者)は、日常的な安全管理運営と委託先管理の中心です。
- リスクアセスメントの実施:医療情報システムの資産洗い出し・脅威・脆弱性の評価を年1回以上実施
- システム調達時の安全性確認:新規システム・サービス選定時に、ガイドライン準拠状況を評価基準に含める
- 委託先との契約管理:秘密保持契約、再委託条件の明確化、インシデント報告義務の契約化
- 従業員教育:年1回以上の情報セキュリティ研修を実施し、受講記録を保管する
- 内部監査の実施:システム運用担当者の作業を定期的にレビューし、記録する
- BCP(事業継続計画)の策定:サイバー攻撃・災害時の診療継続・復旧手順を文書化する
3-3. システム運用層の義務
情シス担当者・ベンダーが日常的に実施する技術的安全管理措置です。
- アクセス制御:ユーザーアカウントの最小権限の原則、退職者の即時アカウント削除
- 認証強化:電子カルテ等の重要システムへの多要素認証(MFA)の導入
- ネットワーク分離:医療情報ネットワークと一般業務・インターネットの物理的・論理的分離
- ログの取得・保全:アクセスログ・操作ログを最低3か月(重要システムは1年以上)保存
- パッチ適用・脆弱性管理:OSとソフトウェアのセキュリティパッチを定期的に適用する手順の確立
- バックアップ:3-2-1ルール準拠のバックアップ、復元テストの定期実施
- 端末管理:医療情報端末の資産台帳管理、外部持ち出しルールの策定と実施
- マルウェア対策:ウイルス対策ソフトの導入・定義ファイルの自動更新
4. 対応チェックリスト──管理・技術・委託先の3分類
以下のチェックリストは、厚労省ガイドライン第6.0版の付表チェック項目をもとに、公開情報の範囲で整理したものです。個々の医療機関の実態に応じた詳細対応は、専門のセキュリティコンサルタントまたはベンダーへの相談を推奨します。
4-1. 管理的安全管理措置チェックリスト
| No. | チェック項目 | 担当 | 頻度 |
|---|---|---|---|
| M-01 | 情報セキュリティ基本方針を文書化し、院長が承認・署名している | 経営管理 | 策定後年1回見直し |
| M-02 | 医療情報担当者(企画管理者)を任命し、権限を明文化している | 経営管理 | 変更時に更新 |
| M-03 | 情報資産台帳(システム・端末一覧)を作成し最新状態を保っている | 企画管理 | 四半期ごと確認 |
| M-04 | リスクアセスメントを年1回以上実施し記録している | 企画管理 | 年1回 |
| M-05 | 情報セキュリティ研修を全スタッフに年1回以上実施し受講記録がある | 企画管理 | 年1回 |
| M-06 | インシデント対応手順書(連絡先・初動・報告先含む)が整備されている | 企画管理 | 年1回見直し |
| M-07 | BCP(事業継続計画)にサイバー攻撃シナリオが含まれている | 企画管理 | 年1回見直し |
| M-08 | 委託先との秘密保持・インシデント報告義務を契約書に明記している | 企画管理 | 契約更新時に確認 |
| M-09 | 内部監査を年1回以上実施し結果を経営管理層に報告している | 企画管理 | 年1回 |
| M-10 | 退職・異動者の権限剥奪手順が明文化され実施されている | 企画管理 | 随時 |
4-2. 技術的安全管理措置チェックリスト
| No. | チェック項目 | 担当 | 頻度 |
|---|---|---|---|
| T-01 | 電子カルテ等の重要システムにMFA(多要素認証)が導入されている | システム運用 | 導入後月次確認 |
| T-02 | ユーザーアカウントは最小権限の原則で付与・管理されている | システム運用 | 四半期ごと棚卸し |
| T-03 | 医療情報ネットワークと一般業務・インターネットがVLAN等で分離されている | システム運用 | 構成変更時に確認 |
| T-04 | 外部ネットワーク接続はVPN・閉域網で暗号化されている | システム運用 | 年1回設定確認 |
| T-05 | アクセスログ・操作ログを3か月以上保存・保全している | システム運用 | 月次確認 |
| T-06 | OSとアプリケーションのセキュリティパッチを定期的に適用している | システム運用 | 月次 |
| T-07 | ウイルス対策ソフトが全端末に導入され定義ファイルが最新である | システム運用 | 週次確認 |
| T-08 | バックアップを3-2-1ルールで取得し、定期的に復元テストを実施している | システム運用 | 四半期ごと |
| T-09 | バックアップの一部がイミュータブル(書き換え不可)またはオフラインで保管されている | システム運用 | 月次確認 |
| T-10 | 端末の資産台帳を整備し、外部持ち出しのルールが明文化されている | システム運用 | 四半期ごと棚卸し |
| T-11 | USBメモリ等リムーバブルメディアの利用制限が設定されている | システム運用 | 年1回確認 |
| T-12 | 不要なポート・サービスがファイアウォールで遮断されている | システム運用 | 構成変更時に確認 |
4-3. 委託先管理チェックリスト
| No. | チェック項目 | 確認先 | タイミング |
|---|---|---|---|
| V-01 | 委託先が経産省ガイドライン・総務省ガイドライン適合を対外的に宣言・証明できるか確認している | 電子カルテ・クラウドベンダー | 契約前・更新時 |
| V-02 | 委託先のセキュリティ認証(ISO27001/ISMS-クラウド/SOC2等)取得状況を確認している | 全委託先 | 契約前・更新時 |
| V-03 | 再委託先の利用有無と安全管理状況を把握している | 全委託先 | 契約前・年1回 |
| V-04 | インシデント発生時の委託先→医療機関への報告義務と報告時間が契約に明記されている | 全委託先 | 契約前・更新時 |
| V-05 | 委託先のデータセンター所在地(国内/海外)と準拠法を把握している | クラウドベンダー | 契約前 |
| V-06 | 契約終了時のデータ返還・削除手順が明文化されている | 全委託先 | 契約前 |
| V-07 | 年1回以上、委託先のセキュリティ報告(定期報告書・監査報告書)を受領している | 重要委託先 | 年1回 |
5. 外部監査・行政指導対応のフローと準備書類
第6.0版では、医療機関が内部監査だけでなく「外部からの確認・指導」を受ける可能性が高まっています。主な外部確認の機会は以下のとおりです。
5-1. 外部監査・指導の主な機会
- 地方厚生局による立入検査:病院・診療所の管理運営事項として情報管理体制が確認対象になり得る
- 診療報酬・補助金の審査:IT導入補助金・デジタル田園都市国家構想推進交付金等の申請時にセキュリティ要件確認あり
- 個人情報保護委員会による報告徴収:個人データ漏洩時に安全管理措置の実施状況が問われる
- 医療機関のインシデント後の調査:NISC・警察・厚労省からの情報提供・協力要請
5-2. 監査対応に必要な書類一覧
| 書類名 | 内容 | 更新頻度 |
|---|---|---|
| 情報セキュリティ基本方針 | 安全管理の方針・体制・責任者を明記した文書。院長署名あり | 年1回以上 |
| 情報資産台帳 | システム・端末・データの一覧、重要度分類、管理担当者 | 四半期ごと |
| リスクアセスメント記録 | 脅威・脆弱性の評価結果と対応措置の記録 | 年1回 |
| セキュリティ研修記録 | 研修内容・実施日・受講者名のリスト | 年1回以上 |
| インシデント対応手順書 | 発見→初動→報告→復旧のフロー。連絡先一覧付き | 年1回見直し |
| BCP(事業継続計画) | サイバー攻撃・災害時の診療継続・復旧手順 | 年1回見直し |
| 委託先管理台帳 | 委託先名・業務範囲・契約書番号・認証取得状況 | 変更時・年1回確認 |
| バックアップ実施記録 | 取得日・世代数・復元テスト結果のログ | 月次 |
| アクセス・操作ログ | 電子カルテ等の重要システムのログ(3か月以上保存) | 随時取得・定期保全 |
| 内部監査報告書 | 年1回実施の内部監査の結果・指摘事項・改善措置 | 年1回 |
5-3. 監査対応フロー(PDCA)
外部監査・行政指導に対応するための基本フローは以下のとおりです。具体的な対応内容は、セキュリティ専門家または法律の専門家への相談を推奨します。
- Plan:年度初めに年間計画を策定──リスクアセスメント・研修・内部監査・BCP訓練のスケジュールを確定する
- Do:計画に従って実施・記録──各取組みの実施後に漏れなく記録(日付・担当者・内容・結果)を残す
- Check:内部監査で確認──年1回以上の内部監査で計画との乖離を洗い出し、指摘事項を文書化する
- Act:改善措置を実施・方針に反映──指摘事項の改善措置を実施し、次年度の計画・方針に反映する
- 外部確認対応:書類を即座に提示できる状態を維持──監査・指導が来た場合に対応できるよう、書類をフォルダ分けして保管する
6. クラウド事業者の選定ポイント──経産省・総務省ガイドライン適合の確認方法
クラウド型電子カルテ・クラウドストレージ・クラウドバックアップを利用する場合、医療機関には「ガイドラインに適合した事業者を選ぶ義務」があります。事業者側は経産省ガイドラインと総務省ガイドライン(クラウド)への適合を医療機関に説明できなければなりません。以下に評価ポイントを整理します。
6-1. 確認すべき認証・適合宣言
| 認証・宣言 | 確認内容 | 取得難易度 |
|---|---|---|
| ISO/IEC 27001(ISMS) | 情報セキュリティマネジメントの国際認証。適用範囲を確認 | 中〜高 |
| ISO/IEC 27017(ISMS-クラウド) | クラウドサービス特有の管理策を追加した認証 | 高 |
| SOC 2 Type2 | 米国公認会計士が第三者監査するセキュリティ・可用性・機密性の報告書 | 高 |
| ISMAP(政府情報システムのためのクラウドサービスのセキュリティ評価制度) | 日本政府がクラウドサービスのセキュリティを評価する制度。ISMAPリストへの掲載が信頼の指標 | 高 |
| 3省2GL適合宣言書 | 事業者が自社サービスについてガイドライン準拠を文書で宣言したもの。提出を要求できる | 中(事業者次第) |
| プライバシーマーク・TRUSTe | 個人情報保護の取組みを示すもの。セキュリティ認証とは別物だが補足として参考になる | 中 |
6-2. 契約前に事業者へ確認すべき質問事項
以下の質問を契約前に事業者へ文書で提出し、回答を保管することで、委託先管理の記録になります。
- 厚労省「医療情報システムの安全管理に関するガイドライン第6.0版」および経産省・総務省ガイドラインへの適合状況を文書(適合確認書・準拠宣言書)で提示できますか?
- ISO/IEC 27001・27017・SOC2 Type2・ISMAPのうち、どの認証を取得していますか?認証書の写しを提示いただけますか?
- 医療情報(患者データ)の保存先のデータセンター所在国はどこですか?海外移転はありますか?
- 再委託先(サブプロセッサー)を利用していますか?利用している場合、その一覧と安全管理状況を提示できますか?
- インシデント(データ漏洩・システム障害)発生時の医療機関への報告義務と報告時間の目標値を教えてください。
- 契約終了時のデータ返還・削除の手順と証明書の発行は可能ですか?
- 年次のセキュリティ監査報告書(SOC2報告書等)を提供いただけますか?
6-3. 主要クラウド事業者の認証・適合状況(参考)
以下は2026年5月時点の各社公式公開情報に基づく参考情報です。認証・適合状況は更新されることがあるため、契約前に各社の公式サイトで最新情報をご確認ください。
| 事業者カテゴリ | 代表例 | 取得が多い認証 | 3省2GL適合宣言 |
|---|---|---|---|
| 大手クラウドインフラ(IaaS) | AWS / Microsoft Azure / Google Cloud | ISO27001・27017・SOC2 Type2・ISMAP | サービス個別に準拠範囲の文書あり |
| 医療専門クラウドEMR | 国産クラウド電子カルテ各社 | ISO27001・プライバシーマーク | 一部事業者は3省2GL準拠宣言を公開 |
| 国産クラウドストレージ | さくらインターネット / IDCフロンティア | ISO27001・ISMS-クラウド | 事業者による(要確認) |
| セキュリティSaaS | 各社EDR・UTM管理クラウド | SOC2 Type2が多い | 事業者による(要確認) |
7. 委託先管理の実務──SIer・保守ベンダー・クラウド事業者との関係整理
医療機関が日常的に関わる委託先は複数層にわたります。「電子カルテベンダー=主委託先」だけでなく、保守SE・システム統合事業者・ネットワーク事業者・クラウドインフラ事業者など多層の関係者が医療情報に接触する可能性があります。
7-1. 委託先の層別整理
| 委託先の層 | 例 | 医療情報へのアクセス | 管理の優先度 |
|---|---|---|---|
| 一次委託先(直接契約) | 電子カルテベンダー・SIer・保守会社 | 高(遠隔保守・データ移行等) | 最優先 |
| 二次委託先(再委託) | インフラ会社・クラウドデータセンター | 中〜高(データセンター側に患者データ保存) | 高 |
| 三次委託先 | 大手クラウドプロバイダー(AWS等)のサブプロセッサー | 低〜中(地域ごとのインフラ管理会社) | 中 |
| スポット委託 | コンサルタント・プログラマー・監査会社 | 要判断(アクセス範囲を限定するべき) | 都度評価 |
7-2. 委託先との契約で最低限押さえるべき条件
- 秘密保持義務:委託業務で知り得た患者情報・経営情報の守秘を明記する
- 再委託の事前承認:委託先が第三者に再委託する場合は医療機関の承認を要件とする
- インシデント報告義務:セキュリティインシデント発生から24時間(または合理的な時間)以内の報告を義務付ける
- 監査権限:医療機関または医療機関が指定する第三者が委託先のセキュリティ対策を監査できる権限
- データ返還・削除:契約終了時のデータ返還方法、削除証明書の発行を明記する
- ガイドライン準拠義務:3省2ガイドラインへの準拠を契約条件として明記する(または「同等水準の安全管理措置を実施する」旨を記載)
7-3. 保守・遠隔作業時のアクセス管理
電子カルテベンダーが遠隔保守でシステムにアクセスする際は、以下の管理が推奨されます。具体的な実装はベンダーおよびセキュリティ専門家への相談を推奨します。
- 遠隔アクセスのたびに医療機関担当者が承認・記録する(ジャストインタイムアクセス)
- 遠隔アクセス中は操作ログを記録し、作業終了後に接続を切断する
- 保守用アカウントは専用で付与し、業務終了後に無効化する
- 遠隔保守で使用するVPN接続情報を定期的にローテーションする
8. 規模別・形態別の費用感と対応優先度
3省2ガイドライン対応の費用は、医療機関の規模・既存インフラ・委託形態によって大きく異なります。以下は2026年5月時点の公開情報をもとにした参考レンジです。個別見積もりは各ベンダー・コンサルタントへ相談ください。
| 医療機関規模 | 初期対応の主な費用項目 | 費用参考レンジ(初期) | ランニング(月額) |
|---|---|---|---|
| 無床クリニック(〜5端末) | UTM導入・MFA設定・セキュリティ研修・文書整備 | 30〜80万円 | 1〜3万円 |
| 有床診療所・小規模病院(〜50床) | 上記+ネットワーク分離・EDR導入・バックアップ強化 | 100〜300万円 | 5〜15万円 |
| 中規模病院(50〜200床) | 上記+SIEM・SOC(監視)・BCP整備・定期監査 | 300〜1,000万円 | 20〜80万円 |
| 大規模病院(200床超) | CSIRT構築・24時間SOC・サプライチェーン監査・DR(災害復旧)環境 | 1,000万円〜 | 100万円〜 |
費用は導入するシステムの種類・既存インフラとの相性・ベンダーのサポート範囲によって大幅に変動します。IT導入補助金(デジタル化基盤導入類型)や地域医療デジタル化支援補助金等を活用することで実質負担を下げられる場合があります。補助金の対象要件・申請期限は毎年変わるため、公式情報(中小企業庁・各都道府県)で最新情報を確認してください。
8-1. クリニック向け:最短で押さえる優先対応5項目
予算・人員が限られるクリニックが最優先で取り組むべき対応を5項目に絞りました。詳細な実装はベンダーへの相談を推奨します。
- 情報セキュリティ基本方針の文書化と院長承認──1〜2ページでよい。これだけで「経営管理層の関与」が証明できる
- MFA(多要素認証)の導入──電子カルテと院内Wi-Fiの認証に多要素認証を設定する
- バックアップの分離と復元テスト──NAS+クラウドの二重化と、四半期に1回の復元確認を実施する
- セキュリティ研修の実施と記録──年1回、全スタッフにフィッシングメール・ランサムウェアの研修を行い記録する
- 委託先(電子カルテベンダー)のガイドライン適合確認──ベンダーに適合確認書の提示を求め、契約書に記録する
9. 失敗事例と回避策──現場で多い対応ミス
実際の医療機関でよく見られる対応ミスと回避策を紹介します。以下は厚労省・JPCERT/CC・各都道府県の公表情報をもとにした一般的な事例の整理です。
事例1:「電子カルテベンダーが対応しているはず」という思い込み
電子カルテベンダーがガイドライン対応を代行してくれると思い込み、医療機関側の文書整備・体制構築が全く行われていなかったケース。ガイドライン上、安全管理体制の整備・教育・リスクアセスメントは医療機関自身が実施する義務です。ベンダーはシステム側の要件を満たすが、医療機関側の管理義務はカバーしません。回避策は「ベンダーが担う部分」と「自院が担う部分」を契約・チェックリストで明確に分けることです。
事例2:ガイドライン対応を情シス担当者だけに丸投げ
院長・理事長が「セキュリティはシステム担当者が何とかする」として関与しなかった事例。第6.0版では経営管理層の関与が明文化されており、担当者が一人で対応できる範囲には限界があります。担当者が退職・異動すると対応が白紙に戻るリスクもあります。回避策は院長が情報セキュリティ基本方針に署名し、年次レビューに参加することです。
事例3:バックアップを取っていたが復元できなかった
毎日バックアップを実行していたが、復元テストを一度も実施していなかったため、ランサムウェア被害時に復元が失敗し診療停止が長期化した事例。JPCERT/CCの調査でも、医療機関のランサムウェア被害において「バックアップはあったが復元できなかった」事例が複数報告されています。回避策は四半期に1回以上の復元テストと、その結果の記録です。
事例4:委託先変更時にデータが返還されなかった
クラウド型電子カルテのベンダーを変更する際、旧ベンダーからのデータ返還に数か月かかったうえ、一部データが欠損していた事例。契約書にデータ返還の手順・期間・形式が明記されていなかったことが原因です。回避策は契約前にデータ返還条件を明記することと、定期的に自院でデータエクスポートを取得・保管することです。
事例5:古いOSのまま医療情報システムを使い続けていた
電子カルテが古いOSでしか動作しないとして、サポート期限切れのOSを数年間使い続け、未パッチの脆弱性を悪用されてマルウェア感染した事例。回避策は電子カルテベンダーにOS対応ロードマップを確認し、サポート期限切れ前に更新計画を立てることです。やむを得ず古いOSを使い続ける場合はネットワーク隔離・インターネット非接続化を検討します。
事例6:フィッシングメールへの引っかかりが発端
職員がフィッシングメールを開封してマルウェアに感染し、院内ネットワーク全体に拡散した事例。医療機関へのサイバー攻撃の主要な侵入経路のひとつがメールです。回避策は年1回以上のフィッシング対策研修(模擬フィッシングも含む)と、不審メールの報告手順の周知です。
10. よくある質問(FAQ)10問
Q1. 小規模クリニックでも3省2ガイドラインへの対応は必要ですか?
電子カルテ・レセコンを使用しているすべての医療機関が対象です。クリニック規模でも最低限の体制整備(方針文書・担当者任命・研修・バックアップ・委託先確認)は求められます。ただしガイドラインは規模に応じた合理的な対応を認めており、大病院と同水準のシステムを求めるものではありません。まずはガイドラインの「クリニック向け対応チェックリスト」(厚労省公表の付表)で現状を確認することを推奨します。
Q2. ガイドラインに違反したら即ペナルティがありますか?
ガイドライン違反だけで即罰則が科されるわけではありません。ただし、情報漏洩・インシデント発生時に「ガイドライン準拠の安全管理措置を怠っていた」と判断されると、個人情報保護委員会からの行政指導・勧告・命令、民事訴訟での過失認定、診療報酬請求に関する行政処分のリスクが高まります。
Q3. 第6.0版への対応期限はありますか?
厚労省は第6.0版への移行について明確な猶予期間を設けていません。2023年5月公表以降、速やかな対応が求められています。ただし実務的には、次回の電子カルテ更新・契約更新のタイミングで順次対応を進める医療機関が多い状況です。重大インシデント発生後に「対応していなかった」と指摘されるリスクを避けるため、早期の着手を推奨します。
Q4. 「経産省ガイドライン適合」は医療機関が自力で判断できますか?
医療機関が技術的に自力判断するのは困難です。実務的には、電子カルテ・クラウドベンダーに「経産省ガイドライン適合確認書」「ISO27001/SOC2認証書」「ISMAP登録情報」の提出を求め、それを委託先管理台帳に記録する方法が現実的です。不明点はセキュリティコンサルタントや医療情報学会等の専門機関への相談を推奨します。
Q5. クラウド型電子カルテを使えば対応が楽になりますか?
サーバー管理・パッチ適用・バックアップインフラの一部はクラウド事業者が担うため、オンプレミスに比べて物理的な管理負担は軽減されます。ただし医療機関側の義務(方針文書・教育・アクセス管理・委託先確認等)は変わりません。むしろクラウドは「事業者の安全管理状況を医療機関が確認する義務」が明確化されているため、委託先確認の手間が加わる面もあります。
Q6. セキュリティ研修はどのくらいの頻度・内容が必要ですか?
ガイドラインは「定期的な研修」を求め、年1回以上が実務上の最低ラインとされます。内容は最低限「フィッシングメールの見分け方・不審メール時の対応」「パスワード管理ルール」「情報漏洩を発見した際の報告手順」を含めることが推奨されます。外部の医療情報セキュリティ研修プログラム(一般財団法人医療情報システム開発センター(MEDIS)等が提供)を活用する方法もあります。受講記録(日付・参加者・内容)は漏れなく保管してください。
Q7. オンライン資格確認の回線はセキュリティ対応が必要ですか?
オンライン資格確認は社会保険診療報酬支払基金が指定する閉域ネットワーク経路を使用します。この経路は支払基金の安全管理要件に沿って設計されていますが、医療機関側でも接続機器のファームウェア更新・不要なポートの遮断・アクセスログの記録が求められます。閉域網を使っていれば安全、という思い込みは回避すべきです。
Q8. 個人情報保護法との関係はどうなりますか?
個人情報保護法の安全管理措置義務(第23条)と3省2ガイドラインの安全管理措置は相互補完の関係にあります。3省2ガイドラインへの準拠は、個人情報保護法上の「適切な安全管理措置」の一部を満たす根拠にもなります。医療機関は個人情報保護法上の個人情報取扱事業者かつ要配慮個人情報(病歴等)の取扱者として、特に高い安全管理水準が求められます。
Q9. インシデントが発生したら、どこに報告すればよいですか?
第6.0版では、サイバーインシデント発生時に(1)厚生労働省(または地方厚生局)への報告・相談、(2)個人データ漏洩があれば個人情報保護委員会への報告(72時間以内の速報)、(3)NISC(内閣サイバーセキュリティセンター)・JPCERT/CCへの情報提供が示されています。警察への被害届も推奨されます。具体的な手続きは、インシデント対応手順書に連絡先・手順をあらかじめ記載しておくことが重要です。
Q10. 対応の進め方が分からない場合はどうすればいいですか?
まず厚労省が公開している「医療情報システムの安全管理に関するガイドライン 第6.0版」(厚労省公式サイトから無料ダウンロード可)の「経営管理編」と付表チェックリストを院長・担当者で通読することを推奨します。次に、電子カルテベンダー・医療系SIerに現状のギャップ診断を相談する、MEDIS(一般財団法人医療情報システム開発センター)等の専門機関が提供するセミナー・相談窓口を活用することが有効です。地域の医師会・病院協会が提供するセキュリティ相談窓口も活用できます。
11. 次の1ステップ──今週中に着手できること
3省2ガイドライン対応は「一度にすべて完成させる」必要はありません。今週中に着手できる最小ステップを実行することで、前進が始まります。
- 厚労省ガイドライン第6.0版をダウンロードする──厚生労働省の公式サイト(https://www.mhlw.go.jp/)から「医療情報システムの安全管理に関するガイドライン第6.0版」を入手する。経営管理編と付表チェックリストを院長・担当者で1時間確認する
- 本記事のチェックリストでセルフ評価する──管理的(M-01〜M-10)・技術的(T-01〜T-12)・委託先(V-01〜V-07)の各項目に「対応済/未対応/不明」を記録し、未対応項目の一覧を作る
- 電子カルテベンダーにガイドライン適合確認書の提示を依頼する──「ガイドライン第6.0版への適合状況を文書で提示してください」とメールで依頼し、委託先管理台帳の整備を始める
- 情報セキュリティ担当者を院内で任命(または確認)する──小規模クリニックでは院長自身が担当者を兼ねる形でも可。担当者名と責任範囲を院内で明文化する
具体的な対応内容・優先順位・費用感については、電子カルテベンダーや医療情報セキュリティの専門家・コンサルタントへの相談を推奨します。ガイドラインの解釈・個別判断は専門家の助言を得ることが適切です。
[PR]
12. まとめ
3省2ガイドラインへの対応は、「IT担当者が設定を変える」だけの話ではなく、経営管理・企画管理・システム運用の三層にわたる体制整備です。厚労省ガイドライン第6.0版の最大の変化は「経営者の責任の明確化」「クラウド委託先の確認義務」「インシデント報告の具体化」にあります。
クリニック規模であれば、今すぐ取り組める5点(方針文書の院長承認・MFA導入・バックアップ分離と復元テスト・年1回の研修・委託先の適合確認)から始めることで、最低限の対応義務を満たすことができます。大規模病院は三層の体制整備・委託先管理・BCP・定期監査を体系的に進める必要があります。
本記事で使用したチェックリスト(M-01〜M-10 / T-01〜T-12 / V-01〜V-07)を現状評価の起点として活用してください。詳細な実装・個別判断は、電子カルテベンダー・医療情報セキュリティの専門家・MEDIS等の専門機関への相談を推奨します。
出典・参考情報
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月)https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html (参照:2026年5月)
- 経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(2023年7月)https://www.meti.go.jp/policy/it_policy/privacy/iryouguide.html (参照:2026年5月)
- 総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(2024年1月)https://www.soumu.go.jp/main_content/000930656.pdf (参照:2026年5月)
- 内閣サイバーセキュリティセンター(NISC)「医療機関向けセキュリティ教育支援ポータルサイト」https://www.nisc.go.jp/security-site/kansen/ (参照:2026年5月)
- JPCERT/CC「医療分野のセキュリティインシデント事例」https://www.jpcert.or.jp/ (参照:2026年5月)
- 一般財団法人医療情報システム開発センター(MEDIS)「医療情報安全管理関連ガイドライン解説書」https://www.medis.or.jp/ (参照:2026年5月)
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ (参照:2026年5月)
免責事項
本記事は公開情報をもとに情報提供を目的として作成しています。特定の法的判断・セキュリティ対応の可否・個別投資判断の助言を行うものではありません。ガイドラインの解釈・具体的な対応方針については、セキュリティ専門家・法律専門家・主管官庁にご確認ください。掲載情報は2026年5月時点のものであり、法改正・ガイドライン改訂により内容が変わる場合があります。
編集方針
本記事はmitoru編集部が厚生労働省・経済産業省・総務省・NICSの公開情報をもとに作成しました。特定製品・サービスへの誘導を目的とせず、医療機関の情報収集・比較判断の参考情報として提供します。誤情報・情報の更新については 訂正ポリシー に従い対応します。編集方針の詳細はこちら。
関連記事
- 医療機関向けセキュリティ対策ガイド【2026年版】
- 医療機関向けクラウド vs オンプレ コスト比較【2026年版】
- 医療機関向けVPN・バックアップサービス比較【2026年版】
- 医療機関向けIT導入補助金2026 セキュリティ対応版
mitoru編集部の見解
医療情報セキュリティは、医療情報システム安全管理ガイドライン6.0版(厚労省)と医療情報を取り扱う情報システム・サービス提供事業者ガイドライン(経産省・総務省)の3省2ガイドライン準拠が出発点です。ランサムウェア対策はバックアップ・多要素認証・ネットワーク分離の3点セットを最低限満たしてください。