2023年10月、大阪府の病院がランサムウェア攻撃を受け電子カルテが全停止。診療を約2ヶ月間大幅制限する事態に陥りました。2022年には徳島県の病院でも同様の被害が発生し、復旧に数ヶ月と約数億円の費用を要したとされています。医療機関を標的としたサイバー攻撃は年々増加しており、厚生労働省の報告でも医療情報セキュリティインシデントの件数は増加傾向にあります。もはや「うちは小さいクリニックだから大丈夫」では済まない時代です。
本記事では、厚生労働省・経済産業省・総務省の3省2ガイドラインに準拠した医療情報セキュリティ対策を、中小医療機関の担当者が実務で使えるレベルまで体系化しました。12の必須対策チェックリスト、規模別の推奨対策レベル、インシデント発生時の対応フロー、BCP(事業継続計画)の作り方、教育訓練プログラムの設計方法、そして公開された被害事例5件まで一冊にまとめています。
この記事で分かること
- 3省2ガイドラインの概要と医療機関に求められる義務
- ランサムウェア・内部不正・フィッシングなどリスク類型の全体像
- 12の必須対策チェックリスト(技術・組織・物理の3領域)
- 個人開業〜病院まで規模別の推奨対策レベル
- 主要セキュリティソリューションのカテゴリ解説
- インシデント発生時72時間の対応フロー
- BCP(事業継続計画)の作り方と最低限のテンプレ
- 教育・訓練プログラムの設計方法
- 監査・点検の頻度ガイドライン
- 公開された医療機関の被害事例5件
- ベンダー質問リスト15項目
- FAQ 15問
[PR]
1. 医療情報セキュリティの基本
医療情報は個人情報保護法上の「要配慮個人情報」に該当し、漏えい・滅失・毀損が発生した場合には個人情報保護委員会への報告と本人通知が義務付けられています(改正個人情報保護法 2022年施行)。また医療法・医師法上も医療記録の保存義務があり、電子データの保全は法的要件でもあります。
さらに、診療報酬のオンライン請求・オンライン資格確認・電子処方箋の運用においては、厚生労働省が定めるセキュリティ要件を満たすことが制度上の前提条件です。セキュリティ対策は「コスト」ではなく「事業継続の基盤」として位置づけることが重要です。
2. 法令・ガイドライン体系
2-1. 主要な法令・ガイドライン一覧
| 名称 | 所管 | 主な内容 |
|---|---|---|
| 医師法(第24条) | 厚生労働省 | 診療録の5年保存義務 |
| 個人情報保護法 | 個人情報保護委員会 | 要配慮個人情報の取扱い・漏えい報告義務 |
| 医療情報システムの安全管理に関するガイドライン 第6.0版 | 厚生労働省 | 医療機関向けの技術・組織的セキュリティ要件 |
| 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン | 経済産業省 | ITベンダー・SaaS事業者への要件(3省2GLの1つ) |
| 医療情報を取り扱う情報システムの安全管理に関するガイドライン | 総務省 | クラウドサービス利用時の要件(3省2GLの1つ) |
| サイバーセキュリティ基本法 | 内閣サイバーセキュリティセンター(NISC) | 重要インフラとしての医療の位置づけ |
2-2. 3省2ガイドラインの概要
「3省2ガイドライン」とは、厚生労働省の医療情報システム安全管理ガイドラインと、経済産業省・総務省のベンダー向けガイドラインの2本を合わせた呼称です。医療機関がクラウド型電子カルテや外部委託サービスを利用する際は、ベンダーが経産省・総務省ガイドラインに準拠しているかの確認が医療機関側にも求められます。
厚労省ガイドライン第6.0版(2023年5月)では、特に以下の点が強化されました:(1) ランサムウェア対策の明示、(2) 特権IDへのMFA適用推奨、(3) クラウドサービス利用時のリスク管理、(4) インシデント対応計画の整備義務化。これらは中小クリニックを含む全医療機関が対象です。
3. リスク類型
| リスク類型 | 発生経路 | 主な影響 | 近年の傾向 |
|---|---|---|---|
| ランサムウェア | メール添付・VPN脆弱性・RDP | システム全停止・診療不能・身代金要求 | 医療機関を標的にした攻撃が急増 |
| フィッシング・標的型メール | メール・SMS | 認証情報窃取・内部侵入の起点 | 医師・事務職員を騙す手口が精巧化 |
| 内部不正(職員による情報持出し) | USB・メール・印刷 | 患者情報漏えい・名簿売買 | 退職者・派遣職員のアクセス管理が課題 |
| 物理的盗難・紛失 | PCやUSBメモリの持ち出し | 患者情報漏えい | 暗号化未実施端末の紛失事例が継続 |
| 誤送信・誤廃棄 | メール誤送信・FAX誤送信・書類廃棄 | 情報漏えい | 件数は最多カテゴリ。ヒューマンエラー対策が重要 |
| サプライチェーン攻撃 | ベンダー・外部委託先経由 | システム改ざん・情報流出 | 中小ITベンダー経由の攻撃が増加 |
| DDoS攻撃 | 外部からの大量リクエスト | サービス停止・診療妨害 | 国際的な医療機関狙い撃ち事例あり |
4. 12の必須対策チェックリスト
以下は厚労省ガイドライン第6.0版・3省2ガイドラインをもとに編集部が整理した、医療機関が実施すべき12の対策カテゴリです。各項目の「最低限」はいかなる規模の医療機関でも実施すべき水準、「推奨」は中規模以上で目指すべき水準です。
対策1:認証の強化
- ☐【最低限】全職員のIDとパスワードを個人単位で管理(共有アカウント禁止)
- ☐【最低限】パスワードは英数字記号混在・8文字以上、定期変更または長文パスフレーズ
- ☐【推奨】VPN・クラウドサービス・管理者アカウントにMFA(多要素認証)を適用
- ☐【推奨】特権ID(管理者権限)の利用ログを記録・監視
- ☐【推奨】退職・異動時の即時アカウント無効化フロー整備
対策2:ネットワークの分離と境界防御
- ☐【最低限】医療情報ネットワークと一般業務・ゲスト用ネットワークを分離
- ☐【最低限】外部インターネットとの境界にファイアウォール(FW)設置
- ☐【推奨】UTM(統合脅威管理)でメール・Webフィルタリング・IPS機能を統合
- ☐【推奨】不審な通信を検知するIDS/IPS(不正侵入検知・防止システム)
対策3:エンドポイントセキュリティ
- ☐【最低限】全端末にアンチウイルスソフトを導入・定義ファイルを自動更新
- ☐【最低限】OSとソフトウェアのセキュリティパッチを速やかに適用
- ☐【推奨】EDR(エンドポイント検知・対応)ツールを導入し、不審な動作を監視
- ☐【推奨】USBメモリ等の外部記憶媒体の使用をポリシーで管理
対策4:VPN・リモートアクセス管理
- ☐【最低限】VPNを利用する場合はMFAを必須とし、アクセスログを記録
- ☐【最低限】VPNソフトウェアの脆弱性パッチを速やかに適用
- ☐【推奨】在宅勤務・訪問診療用端末のセキュリティポリシーを文書化
- ☐【推奨】ゼロトラストアーキテクチャ(ZTNA)の検討
VPNソリューションの比較については 医療機関向けVPN・リモートアクセス比較(後日公開予定)を参照してください。
対策5:バックアップ(3-2-1ルール)
- ☐【最低限】毎日バックアップを取得し、バックアップデータの復元テストを定期実施
- ☐【最低限】バックアップデータを本番環境と切り離して保管
- ☐【推奨】3-2-1ルール(3コピー・2媒体・1オフサイト)の実践
- ☐【推奨】イミュータブルバックアップ(書き換え不可)でランサムウェアによる破壊を防止
- ☐【推奨】RPO(目標復旧時点)・RTO(目標復旧時間)を定義し、達成可能なバックアップ設計
対策6:データ暗号化・DLP
- ☐【最低限】ノートPC・USB等の可搬媒体は全てディスク暗号化を適用
- ☐【推奨】クラウドストレージのデータ暗号化(保管時・転送時の両方)
- ☐【推奨】DLP(データ損失防止)ツールで患者情報の外部持出しを監視・制限
対策7:監査ログの取得・保管
- ☐【最低限】電子カルテの閲覧・変更・印刷ログを取得(厚労省GL上の義務)
- ☐【最低限】ログは改ざん不可能な方法で保管(最低2年・医師法の保存期間に合わせる)
- ☐【推奨】SIEM(セキュリティ情報イベント管理)でログを一元管理・アラート設定
- ☐【推奨】異常アクセス(深夜大量閲覧・通常と異なる端末)を自動検知
対策8:物理セキュリティ
- ☐【最低限】サーバー室・電子カルテ端末への物理的な入退室管理
- ☐【最低限】離席時のスクリーンロック習慣化(5分自動ロック設定)
- ☐【推奨】監視カメラによる記録保管
- ☐【推奨】来訪者の入退館記録
対策9:メール・Web対策
- ☐【最低限】メールのフィッシング・マルウェア対策フィルタを設定
- ☐【推奨】メール誤送信防止ツールの導入(添付ファイル自動暗号化・送信保留機能)
- ☐【推奨】URLフィルタリングで不審サイトへのアクセスをブロック
対策10:セキュリティ教育・訓練
- ☐【最低限】全職員向けの年1回以上のセキュリティ研修実施
- ☐【最低限】フィッシングメール訓練を年1〜2回実施
- ☐【推奨】新入職員・派遣スタッフへの入職時セキュリティ教育
- ☐【推奨】医師・管理者向けの高度な脅威トレンド教育
対策11:インシデント対応計画
- ☐【最低限】インシデント対応手順書(誰が何をするか)を文書化
- ☐【最低限】報告連絡先(厚労省・都道府県・警察・ベンダー)の一覧を整備
- ☐【推奨】年1回のインシデント対応訓練(机上演習)
- ☐【推奨】外部IRチーム(インシデントレスポンス専門家)との事前契約
対策12:ベンダー・委託先管理
- ☐【最低限】電子カルテ・クラウドベンダーの3省2ガイドライン準拠を確認
- ☐【最低限】委託契約書にセキュリティ条項・守秘義務を明記
- ☐【推奨】ベンダーのセキュリティ認証(ISMS認証等)を定期確認
- ☐【推奨】委託先でのインシデント発生時の報告義務を契約で規定
5. 規模別 推奨対策レベル
| 規模 | 認証 | FW/UTM | EDR | SIEM | バックアップ | 教育 | IRチーム事前契約 |
|---|---|---|---|---|---|---|---|
| 個人開業(医師1名) | MFA推奨 | FW必須 | AV必須 | 任意 | 日次・オフサイト | 年1回 | 任意 |
| 小規模クリニック(1〜3名) | MFA必須 | UTM推奨 | EDR推奨 | 任意 | 日次・3-2-1 | 年2回 | 推奨 |
| 中規模クリニック(4〜10名) | MFA必須 | UTM必須 | EDR必須 | 推奨 | 日次・3-2-1・イミュータブル | 年2〜4回 | 必須 |
| 病院(有床) | MFA必須・特権ID管理 | UTM+IDS/IPS | EDR必須 | 必須 | 毎時〜日次・多重 | 年4回以上 | 必須 |
| 介護施設・訪問看護 | MFA推奨 | FW必須 | AV必須 | 任意 | 日次・オフサイト | 年1〜2回 | 推奨 |
6. 主要セキュリティソリューション解説(カテゴリ別)
6-1. エンドポイントセキュリティ(EDR・アンチウイルス)
従来のアンチウイルスはシグネチャベースの既知脅威検知が中心でしたが、EDR(Endpoint Detection and Response)は振る舞い検知・メモリ分析・フォレンジックを組み合わせ、未知の脅威にも対応します。主要製品カテゴリとして、大手セキュリティベンダーが提供する法人向けEDRがあり、SMB医療機関向けにはMDR(マネージドEDR)として月額課金で監視・対応まで委託できるサービスも普及しています。選定時は医療機関の導入実績・3省2GL適合確認書の提供有無・日本語サポート体制を確認してください。
6-2. ネットワーク(FW・UTM・IPS/IDS)
中小クリニック向けにはUTM(Unified Threat Management)が実用的です。FW・VPN・Webフィルタリング・メールフィルタリング・IPS/IDSを1台に集約でき、専任IT担当者がいない施設でも運用しやすいのが特徴です。次世代FW(NGFW)はアプリケーション層まで解析し、暗号化通信(HTTPS)内の脅威も検知します。医療機器ネットワーク(CT・MRI等)と電子カルテネットワークを論理的に分離するセグメンテーションも重要です。
6-3. 認証(MFA・SSO・特権ID管理)
MFA(多要素認証)の方式は、スマートフォンアプリによるワンタイムパスワード(TOTP)・SMSコード・ハードウェアトークン・生体認証などがあります。医療機関では診療中の操作効率も重要なため、スキャンカードや生体認証との組み合わせが実用的です。特権ID管理(PAM:Privileged Access Management)は、管理者権限の使用を記録・制限し、内部不正防止と監査対応に寄与します。SSO(シングルサインオン)は複数システムへの個別ログインを統合し、セキュリティと利便性を両立させます。
6-4. データ保護(暗号化・DLP)
BitLockerなどのディスク暗号化はWindows標準機能として利用可能で、端末紛失時の情報漏えいリスクを大幅に低減します。DLP(Data Loss Prevention)は、患者情報を含むファイルのUSB書き込み・メール送信・クラウドアップロードを監視・遮断します。特に退職直前職員の不審な操作検知に有効です。
6-5. バックアップ(イミュータブルバックアップ・3-2-1ルール)
クラウドバックアップサービスを利用する際は、WORM(Write Once Read Many)機能またはObject Lock機能によりイミュータブル(書き換え不可)なバックアップを取得することが推奨されます。ランサムウェアがバックアップシステムに感染してもデータを破壊できません。電子カルテベンダーが提供するバックアップサービスと自前のオフサイトバックアップを組み合わせる多重化が望ましいです。
6-6. VPN・リモートアクセス
SSL-VPN・IPSec VPNは院外からの安全な接続を提供しますが、VPN機器の脆弱性を放置するとランサムウェアの侵入口になります。ZTNA(Zero Trust Network Access)は「信頼しない・常に検証する」の原則でリモートアクセスを提供し、従来型VPNより攻撃面を狭められます。詳細は 医療機関向けVPN・リモートアクセス比較(後日公開)を参照してください。
6-7. 監査ログ・SIEM
厚労省ガイドラインは電子カルテの閲覧・操作ログの取得を義務化しています。これらのログをSIEM(Security Information and Event Management)で一元管理することで、異常アクセスをリアルタイム検知できます。中小医療機関向けにはクラウドSIEMサービスが普及しており、月額数万円から導入可能なものもあります。
6-8. セキュリティ教育サービス
フィッシングメール訓練サービスは疑似攻撃メールを職員に送付し、クリック率・報告率を測定します。IPA(独立行政法人情報処理推進機構)が提供する無料教材(情報セキュリティ10大脅威、医療機関向け啓発資料)も活用できます。eラーニング形式のサービスは、勤務時間が不規則な医療現場でも各自のペースで受講できる点が利点です。
7. インシデント発生時の対応フロー
フェーズ1:初動(0〜4時間)
- ネットワーク遮断:感染・侵害を確認したらLANケーブルを抜き・Wi-Fiを無効化(被害拡大防止最優先)
- 状況把握:何が・どの範囲で影響を受けているかを把握。電子カルテ・レセコン・医療機器それぞれの状態を確認
- 緊急連絡:院長・情報責任者・ベンダーへ即時連絡。夜間・休日の緊急連絡先を事前に登録しておく
- 証拠保全:ログ・スクリーンショット等の証拠を削除しない。IRチームに引き渡すための保全
フェーズ2:報告・通知(4〜24時間)
- 主務省庁への報告:厚生労働省医政局へ報告(個人情報漏えいの場合は個人情報保護委員会へも)
- 都道府県への報告:医療機関所在の都道府県担当部署へ連絡
- 警察への相談:サイバー犯罪の場合は都道府県警察のサイバー犯罪相談窓口
- 患者への説明:個人情報漏えいが生じた場合は本人通知の義務あり(個人情報保護法第26条)
フェーズ3:復旧(24〜72時間〜)
- IRチームによる原因究明:侵入経路・感染範囲の特定。専門家なしでの独自判断は二次被害につながるリスクあり
- クリーンな環境の再構築:感染した環境をそのまま使わず、クリーンなシステムから再構築
- バックアップからのリストア:感染前のクリーンなバックアップポイントからのリストアを実施
- 再発防止策の実装:侵入経路のパッチ適用・認証強化・ポリシー改訂
重要:身代金を支払うことは推奨されません。IPA・警察庁も支払いに反対しています。支払っても復号できないケース、支払い後に再攻撃されるケースが報告されています。インシデント発生時の具体的な対処については、専門のIRチームへの相談を強く推奨します。
8. BCP(事業継続計画)の作り方
医療機関のBCPは厚生労働省が策定指針を公表しており、サイバー攻撃も想定したBCPの整備が求められています。以下は最低限のBCP要素です。
BCPの必須要素
- RTO・RPOの定義:RTO(目標復旧時間:何時間以内に診療を再開するか)、RPO(目標復旧時点:どの時点のデータまで失うことを許容するか)を明確化
- 優先診療機能の特定:全機能が停止した場合でも継続すべき最低限の診療機能(救急・入院中患者への対応 等)を定義
- 紙運用への切替手順:電子カルテ停止時の紙カルテ運用手順・帳票を事前に整備
- 代替手段の整備:処方・請求・連絡手段のバックアップ(紙処方箋の備蓄・代替連絡先一覧)
- 役割分担の明確化:院長・情報責任者・各部門担当者・外部ベンダーの役割と連絡先を文書化
- 年1回のBCP訓練:机上演習で対応手順を全スタッフが確認
厚生労働省はBCP策定のための手引書を公開しており、医療機関のサイバーセキュリティ対策の手引も参照できます(出典リスト参照)。
9. 教育・訓練プログラムの設計
| 対象 | 内容 | 頻度 | 形式 |
|---|---|---|---|
| 全職員(共通) | フィッシング・パスワード管理・不審なUSB・画面ロック | 年1〜2回 | 集合研修 or eラーニング |
| 医師 | 医療情報セキュリティの法的責任・最新脅威トレンド | 年1回 | 医師会研修・外部セミナー |
| 医療事務・受付 | 個人情報取扱い・誤送信防止・来訪者対応 | 年2回 | 集合研修 |
| IT担当者 | 脆弱性管理・インシデント対応手順・ログ監視 | 年4回以上 | 外部専門研修 |
| 新入職員 | 入職時オリエンテーション(セキュリティポリシー概要) | 入職時 | 個別 or 集合 |
| 派遣・委託職員 | 院内情報の取扱ルール・守秘義務の確認 | 業務開始前 | 文書確認+口頭説明 |
フィッシング訓練は実施後に開封・クリックした職員に対して即座にフォローアップ教育を行うことが効果的です。IPA(独立行政法人情報処理推進機構)が公開している「医療機関向け情報セキュリティ対策チェックリスト」は無料で活用できます。
10. 監査・点検の頻度
| 点検項目 | 推奨頻度 | 担当 |
|---|---|---|
| バックアップ復元テスト | 3〜6ヶ月に1回 | IT担当者 or ベンダー |
| パッチ適用状況確認 | 月1回 | IT担当者 |
| アカウント棚卸し(退職者・異動者) | 月1回 | 情報責任者 |
| アクセスログの異常確認 | 月1〜週1回 | IT担当者 |
| ウイルス定義ファイル更新確認 | 週1回 | IT担当者 |
| セキュリティポリシー全体見直し | 年1回 | 情報責任者・院長 |
| ベンダー準拠証明書の確認 | 年1回 or 更新時 | 情報責任者 |
| インシデント対応訓練(机上演習) | 年1回 | 全部門 |
| BCP訓練 | 年1回 | 全部門 |
11. 失敗事例5件(公開情報ベース)
以下は公開報道・厚生労働省・警察庁等の公式発表をもとに編集部が整理した事例です。医療機関名の特定を目的とせず、対策の参考として提示します。
事例1:VPN脆弱性からのランサムウェア感染(2021〜2022年)
概要:徳島県の病院でVPN機器の古い脆弱性を突かれランサムウェアに感染。電子カルテが全停止し、診療が約2ヶ月大幅制限された。復旧費用は数億円規模と報道された。根本原因:VPNのパッチ未適用・院内ネットワークの分離不足。対策:VPNパッチの即時適用・医療機器ネットワークの分離・バックアップのオフライン保管。
事例2:サプライチェーン経由の感染(2023年)
概要:大阪府の病院で給食委託業者が使用するシステム経由で病院ネットワークに侵入。電子カルテが暗号化され診療が約2ヶ月大幅制限された。根本原因:委託先との接続ポリシーの不備・ネットワーク分離不足。対策:委託先との接続にはVPN+MFAを必須化・ネットワークセグメンテーションの強化。
事例3:職員による患者情報の持出し
概要:複数の医療機関で、退職する職員が患者情報をUSBメモリに複製して持出した事例が報告されている。個人情報保護委員会への報告・本人通知義務が発生。根本原因:USB使用制限・ログ監視の欠如。対策:USB書き込み禁止ポリシー・DLPツール導入・退職前のアクセス制限強化。
事例4:フィッシングメールによる認証情報盗取
概要:医療事務職員が業務連絡を装ったフィッシングメールのリンクをクリックし、業務システムの認証情報が窃取された。その後、その認証情報を使って内部システムへ不正アクセスが行われた。根本原因:MFA未実施・フィッシング訓練未実施。対策:全業務システムへのMFA適用・定期的なフィッシング訓練・疑わしいメールの報告フロー整備。
事例5:ノートPCの紛失による個人情報漏えい
概要:在宅医療や外来で使用する暗号化されていないノートPCが外出先で盗難・紛失。患者情報が漏えいリスクにさらされ、個人情報保護委員会への報告と本人通知が必要となった。根本原因:端末暗号化未実施・持ち出しルールの不備。対策:全端末のディスク暗号化(BitLocker等)・持ち出し申請フロー・リモートワイプ機能の実装。
12. ベンダー質問リスト15項目
電子カルテ・セキュリティソリューションのベンダーに対して、以下の項目を事前に確認してください。
- 3省2ガイドライン(厚労省・経産省・総務省)への準拠状況と証明書の提供は可能か?
- ISMS(ISO/IEC 27001)認証の取得状況は?
- データセンターの所在地(国内か)と物理セキュリティ体制は?
- データの暗号化方式(保管時・転送時)は?
- バックアップの頻度・保管期間・復元手順は?イミュータブルバックアップ対応か?
- インシデント発生時の通知・対応フローと連絡先は?
- 過去のセキュリティインシデント発生実績と対応内容は開示できるか?
- 脆弱性情報の管理と緊急パッチ適用の仕組みは?
- アクセスログの取得・保管期間・提供方法は?
- テナント分離の設計(他の顧客データと混在しないか)は?
- 退職スタッフのアカウント無効化フローの支援はあるか?
- MFA・SSO対応の有無と対応方式は?
- SLA(稼働率保証・障害時補償)の内容は?
- 医療機関向けのセキュリティ教育・啓発資料の提供はあるか?
- 契約終了時のデータ返還・消去の手順と証明書の提供は?
13. FAQ 15問
Q1. 3省2ガイドラインとは何ですか?
A. 厚生労働省・経済産業省・総務省の3省が策定した医療情報セキュリティに関するガイドライン群の総称です。医療機関が守るべき安全管理基準と、クラウドベンダーが満たすべき要件の両方をカバーしています。
Q2. 個人クリニックでも3省2ガイドライン対応は必要ですか?
A. 電子カルテを使用するすべての医療機関が対象です。規模によって求められる対策の水準は異なりますが、基本的なパスワード管理・バックアップ・ログ保存は個人クリニックでも義務的な要件です。
Q3. ランサムウェアに感染したら何をすればよいですか?
A. まずLANケーブルを抜いてネットワーク遮断し、被害拡大を防いでください。次に院長・IT担当者・ベンダーに連絡し、厚生労働省・都道府県・警察への報告を行います。専門IRチームへの相談を強く推奨します。身代金の支払いは推奨されません。
Q4. MFA(多要素認証)は何から始めればよいですか?
A. まずVPNとクラウドサービスのMFAから始めることを推奨します。スマートフォンアプリによるTOTP(Google Authenticator等)は追加費用が少なく導入しやすいです。電子カルテへのMFA適用はベンダーの対応状況を確認してください。
Q5. バックアップはどこに保管すればよいですか?
A. 3-2-1ルールが基本です。本番環境・院内別媒体・クラウドなどオフサイトに1つ以上保管します。ランサムウェア対策としてイミュータブルバックアップ(書き換え不可)の採用が推奨されます。
Q6. 無線LAN(Wi-Fi)のセキュリティはどう対策すればよいですか?
A. 医療情報ネットワーク用・患者・職員一般用・来訪者用を別々のSSIDで分離し、WPA3(またはWPA2)で暗号化します。医療機器と電子カルテ端末は有線LAN接続が望ましいです。
Q7. 電子カルテの操作ログはどれくらいの期間保存すればよいですか?
A. 厚労省ガイドラインでは医師法の診療録保存義務(5年)に準じた期間の保存が求められます。監査・インシデント対応に備え、最低2〜5年の保存を推奨します。改ざん不可能な方法での保管が前提です。
Q8. スタッフのスマートフォン私物利用(BYOD)はどう管理すればよいですか?
A. 私物端末での患者情報へのアクセスを原則禁止とするポリシーが推奨されます。やむを得ない場合はMDM(モバイルデバイス管理)ツールで管理ポリシーを適用します。院内でのSNS投稿禁止ルールも明文化してください。
Q9. 委託業者のセキュリティはどう確認すればよいですか?
A. ベンダー質問リスト15項目を活用し、ISMS認証取得・3省2GL準拠証明書の提出を求めてください。委託契約書にセキュリティ条項・守秘義務・インシデント報告義務を明記することも重要です。
Q10. セキュリティ対策の費用はどれくらいかかりますか?
A. 個人クリニックでUTM・EDR・クラウドバックアップ・MFAを組み合わせた場合、月額3〜8万円程度が一般的な目安です。セキュリティ対策費用はIT導入補助金の対象になる場合があります。詳細は電子カルテベンダーや補助金窓口に確認してください。
Q11. IPA の無料支援ツールは何がありますか?
A. IPA(独立行政法人情報処理推進機構)は「医療機関向けランサムウェア対策チェックリスト」「情報セキュリティ10大脅威」「中小企業の情報セキュリティ対策ガイドライン」などを無料公開しています(出典リスト参照)。まずこれらを活用した現状把握から始めることを推奨します。
Q12. クラウド型電子カルテはオンプレより安全ですか?
A. どちらが絶対的に安全とは言えません。クラウド型は大手データセンターのセキュリティ設備を活用できますが、ベンダーの3省2GL準拠状況を確認する必要があります。オンプレ型は院内管理が必要で、パッチ管理・物理セキュリティが施設の責任になります。詳細は 電子カルテ比較おすすめ14選 も参照してください。
Q13. 診療中に電子カルテが止まったらどうすれば良いですか?
A. BCPで事前に定義した紙運用への切替手順に従います。紙カルテ用の帳票と処方箋用紙の備蓄、患者に説明するための文例、レセプト追加入力の手順を事前に整備してください。 クリニック開業 必要なシステム完全チェックリスト も参照してください。
Q14. 訪問診療・在宅医療でのセキュリティ対策は?
A. 持ち出す端末の暗号化・リモートワイプ機能が必須です。VPN経由での接続、院内ネットワークへのアクセス時のMFA適用も重要です。公衆Wi-Fiへの直接接続は避け、モバイルルーターを使用することを推奨します。
Q15. 介護施設でも医療情報セキュリティ対策は必要ですか?
A. 介護施設は個人情報保護法の対象事業者であり、要配慮個人情報(健康情報)を取り扱います。厚労省の介護分野向けガイドラインに準拠した対策が求められます。規模や保有情報量に応じた対策レベルを設定し、最低限の認証管理・バックアップ・教育は必ず実施してください。
関連記事
- 電子カルテ比較おすすめ14選【2026年最新版・規模別/業種別の選び方】
- クリニック開業 必要なシステム完全チェックリスト【2026年版・開業6ヶ月前〜】
- 医療機関向けVPN・リモートアクセス比較(後日公開予定)
出典・参考情報
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2026-04-25 取得)
- 経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(2026-04-25 取得)
- 総務省「医療情報を取り扱う情報システムの安全管理に関するガイドライン」関連情報(2026-04-25 取得)
- IPA(独立行政法人情報処理推進機構)「医療機関を狙ったランサムウェア攻撃」関連情報(2026-04-25 取得)
- 内閣サイバーセキュリティセンター(NISC)「医療機関向けサイバーセキュリティ対策」(2026-04-25 取得)
- 警察庁「サイバー犯罪対策」(2026-04-25 取得)
- 厚生労働省「医療分野の情報化の推進」(2026-04-25 取得)
- 個人情報保護委員会「個人情報保護法に関する法令・ガイドライン等」(2026-04-25 取得)
- IPA「情報セキュリティ10大脅威 2026」(2026-04-25 取得)
免責事項
本記事は情報提供を目的としており、医療行為・診療判断・セキュリティ事故対応に関する専門的な助言ではありません。セキュリティインシデントが発生した場合は、必ず専門のインシデントレスポンスチームおよび関係機関にご相談ください。記事内容は公開時点(2026-04-25)の公式公開情報をもとに整理しており、各ガイドラインの最新版は必ず公式サイトでご確認ください。導入・運用の最終判断は貴施設の責任において行ってください。
編集方針 | 最終更新日: 2026-04-25
👉 次に読むべき記事
[PR]
mitoru編集部の見解
医療情報セキュリティは、医療情報システム安全管理ガイドライン6.0版(厚労省)と医療情報を取り扱う情報システム・サービス提供事業者ガイドライン(経産省・総務省)の3省2ガイドライン準拠が出発点です。ランサムウェア対策はバックアップ・多要素認証・ネットワーク分離の3点セットを最低限満たしてください。