GemMed | データが拓く新時代医療 > 医療提供体制改革 > 2022年度の医療機関立入検査、「医療機関のサイバーセキュリティ対策」状況も十分に点検を―厚労省

2022年度の医療機関立入検査、「医療機関のサイバーセキュリティ対策」状況も十分に点検を―厚労省

2022.6.2.（木）

今年度（2022年度）に実施する「医療機関への立入検査」では、例年通りの安全管理、院内感染対策などのほか、「サイバーセキュリティ対策」が十分に確保されているかを十分に確認してほしい—。

厚生労働省は5月27日に、通知「令和４年度の医療法第25条第1項の規定に基づく立入検査の実施について」を示し、こうした点を明確にしました（厚労省のサイトはこちら）。本通知において下線が引かれている部分は「前年度からの修正」となります。後述する新項目のほか、「確認事項の基礎となる法令等の改正がなされている」点が下線部に該当しています。

ランサムウェアを使ったサイバー攻撃で「長期間の診療停止」となる事態も

医療法第25条第1項では、▼都道府県知事▼保健所設置市の市長▼特別区の区長―に対し「必要に応じて医療機関に立入検査（人員、清潔保持、構造設備、診療録、助産録、帳簿書類など）を行う」権限を与えています。質の高い医療を提供する体制が整っているのかを個々の医療機関単位で確認する仕組みと言えます。

今般の通知は、都道府県等に対して「今年度（2022年度）の立入検査では、このあたりを重点的に確認してほしい」と指示しています。これを立入検査を受ける医療機関サイドの目線に立つと「通知で示された重点事項について、適切な管理がなされているのかを事前に自己点検しておくことが重要」になってきます。

2022年度にも、従前と同様に（A）安全管理のための体制の確保等（B）院内感染防止対策（C）最近の医療機関における事件等に関連する事項（食中毒、無資格者による医療行為、定員超過入院など）（D）立入検査後の対応など―の4本を柱に据えています。「医療機関が遵守すべき医療安全等の内容・課題は毎年のように変わるものではない」ことから、当然のことと思えますが、昨年度（2021年度）の立入検査と比べて新たな項目も付け加えられています。

まず（A）の安全管理体制において、「サイバー攻撃対策の強化」を図るために次の事項の確認を行うことになります。

（1）PC（パソコン）やVPN機器（ルーター等）などの脆弱性情報を収集し、速やかに対策を行える体制が確保されていること

（2）「診療継続のために直ちに必要な情報」をあらかじめ十分に検討し、データやシステムのバックアップを確実に行っていること

（3）不正ソフトウェア対策を講じつつ復旧するための手順をあらかじめ検討し、BCP（事業継続計画）として定めておくとともに、サイバー攻撃を想定した対処手順が適切に機能することを訓練等により確認すること

（4）医療情報システムの保守会社等への連絡体制（サイバー攻撃を受けた疑いがある場合）や厚労省への連絡体制（当該サイバー攻撃により医療情報システムに障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる、またはそのおそれがある事案であると判断された場合）が確保されていること

Gem Medで報じているとおり、ランサムウェアと呼ばれるコンピュータウイルスを医療機関のパソコン等に侵入させてデータ等を暗号化し「暗号を解いてほしければ身代金を支払え。支払わないのであれば個人情報等を流出させるぞ」と脅す犯罪が世界中で頻発しています。我が国でも昨秋（2021年秋）に徳島県の病院がランサムウェア攻撃を受け、患者の電子カルテをはじとする医療データがすべて暗号化され病院で利用できなくなってしまう（病院側でデータを見ることができなくなり、実質的に消失した形）という大きな事件が起きました。当該病院では院内システムが利活用できなくなったことから数日間、「新規患者の受け入れ停止」「救急患者の受け入れ停止」をせざるを得ず、地域医療提供体制にも大きな影響が生じる事態となりました。

事態を重くみた厚労省は、診療データを適切に保存・利活用するための指針である「医療情報システムの安全管理に関するガイドライン」を改訂（厚労省サイトはこちら、関連記事はこちら）するとともに、医療機関だけでなく国や都道府県も協力して「サイバーセキュリティ対策を強化する」考えを明確にしています（関連記事はこちら）。今般の立入検査における「サイバーセキュリティ対策の確認」もその一環です。

ただし、サイバーセキュリティ対策に必ずしも明るくない医療機関と都道府県による「確認」であ、十分な水準のセキュリティ確保がなされない可能性もあります。このため、例えば医療機関のシステム導入・保守を行うシステムベンダーなどの協力を仰ぎ、「●●病院のサイバーセキュリティ対策確保のため、上記（1）—（4）を確認した」旨の書面を提示することで当該部分の検査とすることなども考えられるでしょう（関連記事はこちら）。

また（C）の「最近の医療機関における事件等に関連する事項」に関して、新たに「新たな医療技術への対応を図るため、診療用放射線の取扱いに関する通知等が発出されたことを踏まえ、医療機関における運用が適切に行われていることを確認するとともに、指導を行う」ことが求められています。具体的には、例えば以下のような通知等が遵守されているかを確認し、必要に応じて「適切な運用」に向けた指導を行うことが必要です（関連記事はこちら）。

▽医療法施行規則の一部を改正する省令等の公布について：2020年4月1日付
▽眼の水晶体に受ける等価線量限度の改正に係る具体的事項等について：202年10月27日付
▽放射線障害防止対策に係る都道府県労働局との連携について：2021年1月28日付
▽放射性医薬品を投与された患者の退出等について：2021年8月19日付
▽医療法施行規則の一部を改正する省令の公布について：2022年3月31日付
▽医療法施行規則等の一部を改正する省令の公布について：2022年4月1日付

さらに、上述した「サイバーセキュリティ対策」に関連し、「サイバー攻撃その他の要因により個人データの漏えい等が発生し、個人の権利利益を害する恐れがある場合には個人情報保護委員会への報告、および本人への通知を行うことが義務づけられたことに留意する」よう強く求めています（関連記事はこちら）。

なお、2022年度の立入検査にあたっては、新型コロナウイルス感染症の影響などを勘案して、▼感染対策を十分に行ったうえで、日程なども十分に勘案して行うことが求められる▼「実際の立ち入り」による検査が困難な場合には、「医療機関で書面による自主点検を行う → 行政がそれを確認する」という手法をとることも認める—こととされています。

ただし、昨年度（2021年度）に認められていた「翌年度の立入検査を持って、今年度の立入検査を行ったものと見做す」との措置（いわば翌年度検査に振り替える措置）は、今年度（2022年度）は認められません（関連記事はこちら）。