Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages
GemMed塾 病院ダッシュボードχ 病床機能報告

医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省

2023.6.2.(金)

厚生労働省が5月31日に、「医療情報システムの安全管理に関するガイドライン 第6.0版」を正式決定し、公表しました(厚労省サイトはこちら)。

「サイバー攻撃への備えを十分に行い、医療機関の機能を維持する」ためにも、「診療報酬の加算(A207【診療録管理体制加算】、A207-2【医師事務作業補助体制加算】など)を適正に取得し、医療機関の経営を安定化させる」ためにも、新たなガイドラインの内容を十分に把握し、これに沿った対応を図ることが極めて重要です。

●ガイドライン見直しのポイントはこちら

【ガイドライン第6.0版】
(1)「概説編」はこちら
(2)「経営管理編」案はこちら
(3))「企画管理編」案はこちら
(4)「システム運用編」案はこちら

【関連資料】(主なもの)
▽「Q&A」案はこちら
▽「小規模医療機関向け特集」案はこちら
▽「サイバーセキュリティ対策特集」案はこちら

サイバーセキュリティ対策強化に向け改訂ガイドラインを正式決定

Gem Medでも繰り返し報じているとおり、「ランサムウェアと呼ばれるコンピュータウイルスによって医療機関等が多大な被害を受けてしまった」事例が散発しています。一昨年秋(2021年秋)には徳島県の病院が、昨秋(2022年秋)には大阪府の大規模急性期病院が被害にあい、電子カルテをはじとする医療データがすべて利用できなくなり(暗号化されてしまうなど)、長期間の診療停止が余儀なくされました。場合によっては「医療機関閉鎖」(いわゆる倒産)にも追い込まれかねない状況も発生します。

こうしたサイバー攻撃に対する備えを各医療機関で確実に実施するために、さらにICT関連技術の進展などに対応するために、厚労省は健康・医療・介護情報利活用検討会の「医療等情報利活用ワーキンググループ」において「医療情報システムの安全管理に関するガイドライン」(以下、ガイドライン)の見直しを議論(関連記事はこちら)。今般、国民や医療現場などからの意見も踏まえて「第6.0版」(以下、ガイドライン6.0版)を正式決定しました。

ガイドライン6.0版では、(1)全体構成を見直し、システム管理者のみならず「経営層」にもサイバーセキュリティ対策の重要性を強く訴える(2)外部委託、外部サービスの利用に関する整理を行い、「クラウドサービスの特徴を踏まえたリスクや対策の考え方」や「医療機関等と外部システム事業者(ベンダ)との責任分解の考え方」を示す(3)ネットワークの安全性の考え方や認証のあり方を踏まえ「ゼロトラスト思考」(何も信用せず、「閉じた環境ゆえ安全である」などと安心しない)(4)新技術や、オンライン資格確認等システム義務kなど制度・規格変更への対応を求める—ことなどがポイントです。

医療情報システムガイドライン6.0版のポイント



このうち(1)では、院長をはじめとする病院経営層に対し、「私はICTを良く知らないので、すべてシステム担当者に丸投げしている」とするのではなく、▼「サイバー攻撃を受けた場合には、長期間の診療停止や経営の危機に陥ることも少なくない」点を理解し、サイバーセキュリティ確保に努める▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化する▼自院にどのような情報機器が保有され、どのような状況なのか(セキュリティ対策は十分に確保されているのかなど)を把握する—ことなどを強く求めています。

一般に、医療機関では「診療の質向上」が最優先され、「新たな機器や設備の整備のためのコスト増」「優れた人材を確保するための人件費増」などに優先的な投資がなされます。しかし、上述したように昨今のサイバー攻撃では「医療機関の経営が破綻する」状況にまで至ることもあります。

現在の医療機関は「鍵のかかっていない金庫」のような状況であるとの指摘もある点に留意し、医療機関経営層は「サイバーセキュリティ対策」の重要性を再認識、「投資優先度の向上」を図ることが求められます。まず「ガイドラインに目を通し、システムベンダと協議する」ところから始めてみましょう。

もっとも、医療機関の経営状況は厳しく(急性期病院の利益率(コロナ補助金を除く医業・介護利益/医業・介護費用、2021年)は、医療法人では1.8%、国立病院ではマイナス1.7%、公立病院(県立病院・市立病院など)ではマイナス12.4%、公的病院(日赤など)では0.0%にとどまっている)、「サイバーセキュリティ対策にかける費用捻出が難しい、ない袖は振れない」ことも事実です。

今後、2024年度診療報酬改定に向けた中央社会保険医療協議会論議の中で、「サイバーセキュリティ対策にかかるコストへの支援」が論点に上がることに期待が集まります。



また、小規模医療機関等ではシステム担当者などが配置されておらず「膨大な量のガイドラインを読み込むことは難しい。最低限何をすればよいのかをまず知りたい」との要望もあり、「Q&A」や「小規模医療機関向けの特集編」「サイバーセキュリティ対策の特集編」なども準備されています。



なお、ガイドライン6.0版整備のほか、厚労省は▼長期間の診療停止が生じないための「短期的な対策」(平時からの予防対策、インシデント発生後の初動対応、日常診療を取り戻すための復旧対応)を稼働させる▼立入検査に「サイバーセキュリティ対策」確認を求める▼医療機関・システムベンダー向けのサイバーセキュリティ対策に向けたサイバーセキュリティ対策の「チェックリスト」を提示する—といった取り組みも行っています。医療機関だけでなく、国・自治体・システムベンダが一致団結して「医療機関のサイバーセキュリティ対策を強化していく」ことが期待されます。



病院ダッシュボードχ 病床機能報告MW_GHC_logo

【関連記事】

院内処方情報の格納・共有、電子処方箋の中で行うか?電子カルテ情報交換サービスの中で行うか?―医療等情報利活用ワーキング(3)
サイバーセキュリティ対策は小規模病院ほど不十分、大病院でもBCP策定やリスク低減措置など進まず―医療等情報利活用ワーキング(2)
医療情報ガイドライン第6.0版を概ね了承し5月末に公表、経営層もセキュリティ対策の重要性認識を―医療等情報利活用ワーキング(1)

医療・介護等の情報利活用、「なぜ必要なのか、メリット・リスクは何か」の国民への丁寧な周知が重要—健康・医療・介護情報利活用検討会
医療機関等のサイバーセキュリティ対策、「まず何から手を付ければよいか」を確認できるチェックリストを提示―医療等情報利活用ワーキング
医療情報システム安全管理ガイドライン改訂版の骨子を公表、病院院長等もサイバー攻撃の恐ろしさを十分に認識せよ!
救急医療における患者の診療情報確認、救急医療従事者に特別権限付与し「通常の端末」で確認する仕組みに―医療等情報利活用ワーキング(2)
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)