GemMed | データが拓く新時代医療 > 医療提供体制改革 > 医療機関等はサイバー攻撃に備え「適切なパスワード設定、管理」「USB接続制限」「2要素認証」等確認を—―医療等情報利活用ワーキング（2）

医療機関等はサイバー攻撃に備え「適切なパスワード設定、管理」「USB接続制限」「2要素認証」等確認を—―医療等情報利活用ワーキング（2）

2025.3.14.（金）

医療機関等へのサイバー攻撃が拡大しており、各医療機関でサイバーセキュリティ対策を強化する必要がある。厚生労働省は「サイバーセキュリティチェックリスト」を公表し、これを活用した「各医療機関等での自主点検」「都道府県による立入検査でのサイバーセキュリティ対策確認」を求めている—。

2025年度版のチェックリストでは、最近のサイバー攻撃事例を踏まえて「パスワードの適切な設定、管理」「USB接続制限」「2要素認証」「院内規定の整備」などをチェック項目に追加する—。

3月13日に開催された健康・医療・介護情報利活用検討会の「医療等情報利活用ワーキンググループ」（以下、ワーキング）では、こうした内容も了承されています（電子カルテ情報共有サービスのモデル事業等に関する記事はこちら）。

3月13日に開催された「第24回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ」

最近のサイバー攻撃事例を踏まえて、セキュリティ対策のチェックリスト充実

質が高く、効率的な医療提供を可能とするために「医療DX」の推進が重視されていますが、そこでは「医療機関などのサイバーセキュリティ対策」が極めて重要となります。

しかし医療機関等の対策は必ずしも十分とは言えず、実際に大きな被害も生じています。このため、厚労省では、例えば次のような取り組みを行っています。
（1）「医療情報システムの安全管理に関するガイドライン」を改訂し、その遵守を求める（関連記事はこちらとこちら）
（2）都道府県による立入検査（医療法第25条第1項・第3項）において「サイバーセキュリティ対策」確認を求める（2023年6月からの検査に適用、関連記事はこちら）
（3）医療機関・システムベンダー向けのサイバーセキュリティ対策に向けたサイバーセキュリティ対策の「チェックリスト」を提示し、これに基づいて▼各医療機関等が自己点検を行う▼都道府県が（2）の立入検査を行う—
（4）医療機関において「サイバー攻撃を防ぐ」ことにとどまらず、「攻撃を受けた際にどう対応し、どう復旧するか」も見据えたBCP（事業継続計画）を各医療機関で策定することが重要であるとし、「平時対応→攻撃検知→初動対応→復旧対応→事後検証」を盛り込む「「サイバー攻撃を想定した事業継続計画（BCP）」策定の確認表を公表（関連記事はこちら）。

また、こうした取り組みにはコストもかかるため2024年度診療報酬改定での手当て（【診療録管理体制加算】の見直しなど）も行っています。

このうち（3）のチェックリストについては、すでに2023年度版・2024年度版が示され、次のような対応を医療機関等・システムベンダーに求めるとともに、都道府県で各医療機関の状況を検査するよう求めています。
▽医療情報システム安全管理責任者を設置しているか

▽医療情報システム全般について、「サーバ、端末PC、ネットワーク機器の台帳管理」「リモートメンテナンス（保守）を利用している機器の有無の事業者等への確認」「事業者から製造業者／サービス事業者による医療情報セキュリティ開示書（MDS／SDS）提出の確認」を行ったか

▽サーバについて、「利用者の職種・担当業務別の情報区分毎のアクセス利用権限設定」「退職者や使用していないアカウント等、不要なアカウントの削除」「アクセスログの管理」「セキュリティパッチ（最新ファームウェアや更新プログラム）の適用」「バックグラウンドで動作している不要なソフトウェア・サービスの停止」を行っているか

▽端末PCについて、「利用者の職種・担当業務別の情報区分毎のアクセス利用権限の設定」「退職者や使用していないアカウント等、不要なアカウントの削除」「セキュリティパッチ（最新ファームウェアや更新プログラム）の適用」「バックグラウンドで動作している不要なソフトウェア及びサービスの停止」を行っているか

▽ネットワーク機器について、「セキュリティパッチ（最新ファームウェアや更新プログラム）の適用」「接続元制限」を行っているか

▽インシデント発生時における組織内と外部関係機関（事業者、厚労省、警察等）への連絡体制図があるか

▽インシデント発生時に「診療を継続する」ために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認しているか

▽サイバー攻撃を想定した事業継続計画（BCP）を策定しているか

さらに今般、最近の「サイバー攻撃事案で明らかになった医療機関等側の問題点」を踏まえ、上記に加えて次のような点を追加してはどうかとの提案が厚労省から行われました。

【パスワードの適切な管理・設定】
▽サイバー攻撃被害を受けた事例では、「ネットワーク機器やサーバのパスワードが容易に推測できるもの、文字列が短かいものであった」「VPN装置をはじめとした医療機関内のシステム、ネットワーク機器、サーバ等のパスワードが共通（使い回し）であった」ことなどが被害拡大の要因の1つであった
↓
（対策方針）
▽パスワードを強固なものにし、使い回しをしないよう適切な管理・設定を求める
▽ベンダーは「事業者側の管理」に加え、「医療機関に導入したサーバ、ネットワーク機器」についても確認する
▼強固なパスワード
・長く、複雑で、推測困難
・13桁以上（桁数が多いほど、機械的な総当たりでの解析が困難）
・英数字、大文字・小文字、記号の混在（組み合わせが多いほど解析が困難）
・ランダムな文字列（単語等の組み合わせによる解析を回避）
・複数機器や外部サービス等で、同一のパスワードを設定しない
▼危険なパスワード使い回し例
・施設内のサーバ、ネットワーク機器等に同一のパスワードを用いている
・事業者が契約している個別の施設に対して同一のパスワードを用いて管理している
・出荷時のパスワードから変更を行っていない

【USBストレージ等の外部接続機器に対しての接続制限】
▽サイバー攻撃被害を受けた事例では、「USBストレージ経由でマルウェアが侵入し、他部門にも感染が広がり、診療業務へ影響が出た」「医療従事者が臨床研究のために患者診療データの一部を保存したUSBストレージ等を紛失した」「USBストレージ等で持ち出したデータを保存した個人所有PCがサイバー攻撃を受け、個人情報が漏えいした」など、半数程が職員の過失に起因している

個人情報漏洩等の原因別内訳（医療等情報利活用ワーキング（2）2　250313）

↓
（対策方針）
▽USBストレージ等の外部接続機器に対する接続制限に関する確認を求める
▽業務の必要性に応じて外部接続機器を利用する場合には、「記録媒体」「記録機器の保管・取り扱い」（例えば、病院の情報システム部門が管理する特定の記録媒体以外の読み込みを不能とし、「利用前に記録媒体のウイルススキャン」を行い、「利用後に初期化を行う」など）を適切に行うよう関係者に周知徹底し、その利用にあたって教育を実施する

【2要素認証の実装】
▽医療情報システムの安全管理に関するガイドラインでは「2027年度時点で稼働していると想定される医療情報システムを新規導入、更新するに際しては『2要素認証を採用するシステムの導入、またはこれに相当する対応を行う』ことを求めている
↓
（対策方針）
▽2023年度から端末等への実装を促してきた2要素認証技術について、予定を確認して円滑に導入が進むようチェック項目に追加する（2027年度の導入を目指しており、現時点では「導入予定」でもよいが、現時点から意識を高めておく必要がある）
▽各医療機関等における医療情報システムの次期更新時に向けて「2要素認証導入についての確認」を行う（同）
▽ベンダーにおいても、医療情報システムの次期更新に合わせた2要素認証導入について、医療機関等への情報提供を行う。
▼2要素認証
以下のいずれか2要素を用いてアクセス権限の認証を行う
・ID・パスワードの組み合わせのような「利用者の記憶」によるもの
・指紋や静脈、虹彩のような利用者の生体的特徴を利用した「生体情報」によるもの
・ICカードのような「物理媒体」によるもの

【規程類の整備】
▽医療情報システムの安全管理が適切に行われるためには、組織内において「明文化されたルール」を定めた運用管理規程の整備が重要である（明文化ルールがない場合、情報セキュリティ担当者が異動した場合などに安全性確保が難しくなる）
↓
（対策方針）
▽サイバーセキュリティ対策チェックリストにおいても「運用管理規程の整備状況」についての項目を追加する

●2025年度のサイバーセキュリティチェックリスト案はこちら（後述のように退職者等アカウントの管理について一部修正される見込み）
●2025年度版の医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル（案）はこちらとこちら（2024年度版からの修正点を見え消しにしている版）

2025年度版のサイバーセキュリティ対策チェックリスト案（医療等情報利活用ワーキング（2）1　250313）

こうしたサイバーセキュリティチェックリストの充実方針に異論・反論は出ておらず、厚労省は「2025年度の立入検査」（2025年5，6月頃に実施される見込み）に向けてチェックリストの整備・公表を近く行います。

なお、構成員からは▼最近のサイバー攻撃の実事例を踏まえて「医療機関の弱点」をカバーする非常に重要な内容である点をしっかりPRし、各医療機関に対応を促すべき。また医療機関単独での対応が困難なこともあり、国からベンダーに対し「医療機関への協力」をしっかり要請してほしい（長島構成員）▼検査を行う保健所職員への研修などを十分に行ってほしい（山口育子構成員：ささえあい医療人権センターCOML理事長）▼2要素認証の導入は非常に重要だが、医療機関等は「生命を守る」ための緊急対応が必要な場面も出てこよう。緊急時用の柔軟な仕組みとその厳格な運用ルール設定なども検討しておくべき（高倉弘喜構成員：国立情報学研究所ストラテジックサイバーレジリエンス研究開発センター長）▼小規模医療機関向けに「どのような規定を整備すればよいのか」を具体的に示すなどの支援も行ってほしい（小野寺哲夫構成員：日本歯科医師会常務理事）▼今やネット通販などでも2要素認証は一般的に行われるようになってきており、医療機関等でも導入を急いでほしい（近藤則子構成員：老テク研究会事務局長）▼医療機関とベンダーとの情報システム契約内容によって「サイバーセキュリティ対策」費用が新たに発生するのか、などが変わってくると思われる。そうした点の明確なども進めるべき（喜多紘一オブザーバー：保健医療福祉情報安全管理適合性評価協会理事長）—などの意見・提案が出されています。

より遠い将来を見据えた意見もありますが、厚労省はこうした声も十分に踏まえて「2025年度版のサイバーセキュリティチェックリスト公表」とそれに基づく立入検査実施などを行っていきます。

なお、厚労省資料の古いバージョンでは「アカウント管理」について、「退職者や使用していないアカウント等、不要なアカウントを削除しているか」のチェック項目が設けられていますが、これは「退職者や使用していないアカウント等、不要なアカウントを削除または無効化しているか」をチェックすることになります（アカウント削除でデータ利活用に支障が出る場合も想定され、その場合は「無効化」で良しとする）。