Gemmed ジェムメド データが拓く新時代医療

運営会社 GLOBAL HEALTH CONSULTING
Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages
Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages
診療報酬改定セミナー2024 看護モニタリング
GemMed | データが拓く新時代医療 > 医療提供体制改革 > 医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省

医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省

2023.6.2.(金)

厚生労働省が5月31日に、「医療情報システムの安全管理に関するガイドライン 第6.0版」を正式決定し、公表しました(厚労省サイトはこちら)。

「サイバー攻撃への備えを十分に行い、医療機関の機能を維持する」ためにも、「診療報酬の加算(A207【診療録管理体制加算】、A207-2【医師事務作業補助体制加算】など)を適正に取得し、医療機関の経営を安定化させる」ためにも、新たなガイドラインの内容を十分に把握し、これに沿った対応を図ることが極めて重要です。

●ガイドライン見直しのポイントはこちら

【ガイドライン第6.0版】
(1)「概説編」はこちら
(2)「経営管理編」案はこちら
(3))「企画管理編」案はこちら
(4)「システム運用編」案はこちら

【関連資料】(主なもの)
▽「Q&A」案はこちら
▽「小規模医療機関向け特集」案はこちら
▽「サイバーセキュリティ対策特集」案はこちら

サイバーセキュリティ対策強化に向け改訂ガイドラインを正式決定

Gem Medでも繰り返し報じているとおり、「ランサムウェアと呼ばれるコンピュータウイルスによって医療機関等が多大な被害を受けてしまった」事例が散発しています。一昨年秋(2021年秋)には徳島県の病院が、昨秋(2022年秋)には大阪府の大規模急性期病院が被害にあい、電子カルテをはじとする医療データがすべて利用できなくなり(暗号化されてしまうなど)、長期間の診療停止が余儀なくされました。場合によっては「医療機関閉鎖」(いわゆる倒産)にも追い込まれかねない状況も発生します。

こうしたサイバー攻撃に対する備えを各医療機関で確実に実施するために、さらにICT関連技術の進展などに対応するために、厚労省は健康・医療・介護情報利活用検討会の「医療等情報利活用ワーキンググループ」において「医療情報システムの安全管理に関するガイドライン」(以下、ガイドライン)の見直しを議論(関連記事はこちら)。今般、国民や医療現場などからの意見も踏まえて「第6.0版」(以下、ガイドライン6.0版)を正式決定しました。

ガイドライン6.0版では、(1)全体構成を見直し、システム管理者のみならず「経営層」にもサイバーセキュリティ対策の重要性を強く訴える(2)外部委託、外部サービスの利用に関する整理を行い、「クラウドサービスの特徴を踏まえたリスクや対策の考え方」や「医療機関等と外部システム事業者(ベンダ)との責任分解の考え方」を示す(3)ネットワークの安全性の考え方や認証のあり方を踏まえ「ゼロトラスト思考」(何も信用せず、「閉じた環境ゆえ安全である」などと安心しない)(4)新技術や、オンライン資格確認等システム義務kなど制度・規格変更への対応を求める—ことなどがポイントです。

医療情報システムガイドライン6.0版のポイント



このうち(1)では、院長をはじめとする病院経営層に対し、「私はICTを良く知らないので、すべてシステム担当者に丸投げしている」とするのではなく、▼「サイバー攻撃を受けた場合には、長期間の診療停止や経営の危機に陥ることも少なくない」点を理解し、サイバーセキュリティ確保に努める▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化する▼自院にどのような情報機器が保有され、どのような状況なのか(セキュリティ対策は十分に確保されているのかなど)を把握する—ことなどを強く求めています。

一般に、医療機関では「診療の質向上」が最優先され、「新たな機器や設備の整備のためのコスト増」「優れた人材を確保するための人件費増」などに優先的な投資がなされます。しかし、上述したように昨今のサイバー攻撃では「医療機関の経営が破綻する」状況にまで至ることもあります。

現在の医療機関は「鍵のかかっていない金庫」のような状況であるとの指摘もある点に留意し、医療機関経営層は「サイバーセキュリティ対策」の重要性を再認識、「投資優先度の向上」を図ることが求められます。まず「ガイドラインに目を通し、システムベンダと協議する」ところから始めてみましょう。

もっとも、医療機関の経営状況は厳しく(急性期病院の利益率(コロナ補助金を除く医業・介護利益/医業・介護費用、2021年)は、医療法人では1.8%、国立病院ではマイナス1.7%、公立病院(県立病院・市立病院など)ではマイナス12.4%、公的病院(日赤など)では0.0%にとどまっている)、「サイバーセキュリティ対策にかける費用捻出が難しい、ない袖は振れない」ことも事実です。

今後、2024年度診療報酬改定に向けた中央社会保険医療協議会論議の中で、「サイバーセキュリティ対策にかかるコストへの支援」が論点に上がることに期待が集まります。



また、小規模医療機関等ではシステム担当者などが配置されておらず「膨大な量のガイドラインを読み込むことは難しい。最低限何をすればよいのかをまず知りたい」との要望もあり、「Q&A」や「小規模医療機関向けの特集編」「サイバーセキュリティ対策の特集編」なども準備されています。



なお、ガイドライン6.0版整備のほか、厚労省は▼長期間の診療停止が生じないための「短期的な対策」(平時からの予防対策、インシデント発生後の初動対応、日常診療を取り戻すための復旧対応)を稼働させる▼立入検査に「サイバーセキュリティ対策」確認を求める▼医療機関・システムベンダー向けのサイバーセキュリティ対策に向けたサイバーセキュリティ対策の「チェックリスト」を提示する—といった取り組みも行っています。医療機関だけでなく、国・自治体・システムベンダが一致団結して「医療機関のサイバーセキュリティ対策を強化していく」ことが期待されます。



診療報酬改定セミナー2024MW_GHC_logo

【関連記事】

院内処方情報の格納・共有、電子処方箋の中で行うか?電子カルテ情報交換サービスの中で行うか?―医療等情報利活用ワーキング(3)
サイバーセキュリティ対策は小規模病院ほど不十分、大病院でもBCP策定やリスク低減措置など進まず―医療等情報利活用ワーキング(2)
医療情報ガイドライン第6.0版を概ね了承し5月末に公表、経営層もセキュリティ対策の重要性認識を―医療等情報利活用ワーキング(1)

医療・介護等の情報利活用、「なぜ必要なのか、メリット・リスクは何か」の国民への丁寧な周知が重要—健康・医療・介護情報利活用検討会
医療機関等のサイバーセキュリティ対策、「まず何から手を付ければよいか」を確認できるチェックリストを提示―医療等情報利活用ワーキング
医療情報システム安全管理ガイドライン改訂版の骨子を公表、病院院長等もサイバー攻撃の恐ろしさを十分に認識せよ!
救急医療における患者の診療情報確認、救急医療従事者に特別権限付与し「通常の端末」で確認する仕組みに―医療等情報利活用ワーキング(2)
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)