医療機関のサイバーセキュリティ対策チェックリスト2025年度版を公表、強固なパスワード設定、USB等の接続制限等の徹底を—厚労省
2025.5.16.(金)
厚生労働省は5月14日に、本年度(2025年度)版の▼医療機関におけるサイバーセキュリティ対策チェックリスト▼医療機関におけるサイバーセキュリティ対策チェックリストマニュアル(医療機関・事業者向け)—を公表しました(日本病院会サイトはこちら)。
各医療機関は、すでに公表されている「医療情報システムの安全管理に関するガイドライン 第6.0版」などと合わせて活用し、サイバーセキュリティ対策を強化していくことに期待が集まります。
院内でサイバーセキュリティ確保ルールを明文化し、二要素認証も早期導入を
Gem Medでも繰り返し報じているとおり、「ランサムウェアと呼ばれるコンピュータウイルスにより、医療機関等が多大な被害を受けてしまう」事例が散発しています。2021年秋には徳島県の病院が、2022年秋には大阪府の大規模急性期病院が被害にあい、電子カルテをはじとする医療データがすべて利用できなくなり(暗号化されてしまうなど)、長期間の診療停止を余儀なくされました。こうしたサイバー攻撃を受けた場合、対策が十分になされていなければ「医療機関閉鎖」(いわゆる倒産)にも追い込まれかねない状況にもつながります。
こうしたサイバー攻撃に備えるため、厚生労働省は次のような取り組みを順次進めています。
(1)「医療情報システムの安全管理に関するガイドライン」を改訂し、その遵守を求める(関連記事はこちらとこちら)
(2)都道府県による立入検査(医療法第25条第1項・第3項)において「サイバーセキュリティ対策」確認を求める(2023年6月からの検査に適用、関連記事はこちら)
(3)医療機関・システムベンダー(事業者)向けのサイバーセキュリティ対策に向けたサイバーセキュリティ対策の「チェックリスト」を提示し、これに基づいて▼各医療機関等が自己点検を行う▼都道府県が(2)の立入検査を行う—
(4)医療機関において「サイバー攻撃を防ぐ」ことにとどまらず、「攻撃を受けた際にどう対応し、どう復旧するか」も見据えたBCP(事業継続計画)を各医療機関で策定することが重要であるとし、「平時対応→攻撃検知→初動対応→復旧対応→事後検証」を盛り込む「サイバー攻撃を想定した事業継続計画(BCP)」策定の確認表を公表する(関連記事はこちら)。
また、こうした取り組みにはコストもかかるため2024年度診療報酬改定での手当て(【診療録管理体制加算】の見直しなど)も行っています。
このうち(3)のチェックリストについては、すでに2023年度版・2024年度版が示され、次のような点の確認を医療機関等・システムベンダーに求めるとともに、都道府県で各医療機関の状況を検査するよう求めています(関連記事はこちら)。
▽医療情報システム安全管理責任者を設置しているか
▽医療情報システム全般について、「サーバ、端末PC、ネットワーク機器の台帳管理」「リモートメンテナンス(保守)を利用している機器の有無の事業者等への確認」「事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)提出の確認」を行ったか
▽サーバについて、「利用者の職種・担当業務別の情報区分毎のアクセス利用権限設定」「退職者や使用していないアカウント等、不要なアカウントの削除」「アクセスログの管理」「セキュリティパッチ(最新ファームウェアや更新プログラム)の適用」「バックグラウンドで動作している不要なソフトウェア・サービスの停止」を行っているか
▽端末PCについて、「利用者の職種・担当業務別の情報区分毎のアクセス利用権限の設定」「退職者や使用していないアカウント等、不要なアカウントの削除」「セキュリティパッチ(最新ファームウェアや更新プログラム)の適用」「バックグラウンドで動作している不要なソフトウェア及びサービスの停止」を行っているか
▽ネットワーク機器について、「セキュリティパッチ(最新ファームウェアや更新プログラム)の適用」「接続元制限」を行っているか
▽インシデント発生時における組織内と外部関係機関(事業者、厚労省、警察等)への連絡体制図があるか
▽インシデント発生時に「診療を継続する」ために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認しているか
▽サイバー攻撃を想定した事業継続計画(BCP)を策定しているか
さらに今般、2025年度版のチェックリストが示されました。昨今、サイバー攻撃事案で明らかになった「医療機関等側の問題点」を踏まえて、上記に加えて次のような点の確認が求められています(関連記事はこちら)。
【パスワードの適切な管理・設定を行う】
▽パスワードを「強固なもの」にし、使い回しをしないよう適切な管理・設定を行っているかを確認する
▽ベンダーは「事業者側の管理」に加え、「医療機関に導入したサーバ、ネットワーク機器」についても確認する
(強固なパスワード)
・長く、複雑で、推測困難
・13桁以上(桁数が多いほど、機械的な総当たりでの解析が困難)
・英数字、大文字・小文字、記号の混在(組み合わせが多いほど解析が困難)
・ランダムな文字列(単語等の組み合わせによる解析を回避)
・複数機器や外部サービス等で、同一のパスワードを設定しない
(危険なパスワード使い回し例)
・施設内のサーバ、ネットワーク機器等に同一のパスワードを用いている
・事業者が契約している個別の施設に対して同一のパスワードを用いて管理している
・出荷時のパスワードから変更を行っていない
【USBストレージ等の外部接続機器に対しての接続制限をしているか】
▽USBストレージ等の外部接続機器に対する接続制限に関する確認を求める
▽業務の必要性があって外部接続機器を利用する場合には、「記録媒体」「記録機器の保管・取り扱い」(例えば、病院の情報システム部門が管理する特定の記録媒体以外の読み込みを不能とし、「利用前に記録媒体のウイルススキャン」を行い、「利用後に初期化を行う」など)を適切に行うよう関係者に周知徹底し、その利用にあたって教育を実施することの確認を求める

個人情報漏洩等の原因別内訳(医療等情報利活用ワーキング(2)2 250313)
【2要素認証を実装しているか】
▽2023年度から端末等への実装を促してきた2要素認証技術について、予定を確認して円滑に導入が進むようチェック項目に追加する(2027年度の導入を目指しており、現時点では「導入予定」でもよいが、意識を高めておく必要がある)
▽各医療機関等における医療情報システムの次期更新時に向けて「2要素認証導入についての確認」を行う(同)
▽ベンダーにおいても、医療情報システムの次期更新に合わせた2要素認証導入について、医療機関等への情報提供を行う
(2要素認証)
以下のいずれか2要素を用いてアクセス権限の認証を行う
・ID・パスワードの組み合わせのような「利用者の記憶」によるもの
・指紋や静脈、虹彩のような利用者の生体的特徴を利用した「生体情報」によるもの
・ICカードのような「物理媒体」によるもの
【規程類の整備がなされているか】
▽サイバーセキュリティ対策チェックリストにおいても「運用管理規程の整備状況」についての項目を追加する(ルールの明文化と、それに沿った運用が重要である)
これらの事項について、各医療機関においてチェックを実施。不備がある場合には「いつまでに完了するのか」の目標日を設定し、事業者(システムベンダー)と協力して、急ぎ対応を図ることが求められます。
(2)の立ち入り検査の際に、チェックリストの確認がなされます。
「医療機関は、鍵のかかっていない金庫のようなもの」と指摘する声もあり、診療報酬(【診療録管理体制加算】など)も活用しながら、セキュリティ対策の充実を図ることが重要です。
【関連記事】
医療機関等はサイバー攻撃に備え「適切なパスワード設定、管理」「USB接続制限」「2要素認証」等確認を—―医療等情報利活用ワーキング(2)
電子カルテ情報共有サービスのモデル事業、まず藤田医大病院中心に開始、「病名」の取り扱いルールなども検討―医療等情報利活用ワーキング(1)
新たな地域医療構想・医師偏在対策・医療DX・オンライン診療法制化など「医療提供体制の総合改革」案とりまとめ—社保審・医療部会
病院の情報システム(電子カルテ、部門システム等)、セキュリティ確保や制度改正対応踏まえ「クラウド移行」を検討―医療等情報利活用ワーキング
NDBやDPC等の利用しやすい「仮名化情報」を研究者等に提供、優れた医薬品開発や医療政策研究につなげる—社保審・医療部会(2)
NDBやDPC等のデータを「より利用しやすく」研究者等に提供、電子カルテ情報との連結解析等も可能に—社保審・医療保険部会
電子カルテ情報共有サービス、地域医療支援病院・特定機能病院・2次救急病院等に導入の努力義務を課す—社保審・医療部会(2)
電子カルテ情報共有サービス、地域医療支援病院・特定機能病院・2次救急病院等で導入努力義務を課してはどうか—社保審・医療保険部会(1)
厚労省が「近未来健康活躍社会戦略」を公表、医師偏在対策、医療・介護DX、後発品企業再編などを強力に推進
2025年1月から無床診療上向けの標準型電子カルテのモデル事業を実施、既存電子カルテの標準化改修も支援—社保審・医療部会(1)
診療録管理体制加算1の要件ともなる「サイバー対策BCP」策定等、2024年3月時点では十分に進んでいない―医療等情報利活用ワーキング(2)
電子カルテ情報共有サービスに向けた病院システム改修費、408万5000円-657万9000円上限に1/2補助―医療等情報利活用ワーキング(1)
2024年度からの電子カルテ情報共有サービス運用に向け「6情報共有のコード」など細部を整理―医療等情報利活用ワーキング
救急患者への治療に当たり「直近の診療・薬剤情報など迅速・勘弁に検索できる救急用サマリ」を作成―医療等情報利活用ワーキング(2)
患者に「傷病名、検査、処方」等情報と「医師からの療養上の指導・計画」情報をセット提供する新サービス―医療等情報利活用ワーキング(1)
院内処方情報の格納・共有、電子処方箋の中で行うか?電子カルテ情報交換サービスの中で行うか?―医療等情報利活用ワーキング(3)
サイバーセキュリティ対策は小規模病院ほど不十分、大病院でもBCP策定やリスク低減措置など進まず―医療等情報利活用ワーキング(2)
医療情報ガイドライン第6.0版を概ね了承し5月末に公表、経営層もセキュリティ対策の重要性認識を―医療等情報利活用ワーキング(1)
医療・介護等の情報利活用、「なぜ必要なのか、メリット・リスクは何か」の国民への丁寧な周知が重要—健康・医療・介護情報利活用検討会
医療機関等のサイバーセキュリティ対策、「まず何から手を付ければよいか」を確認できるチェックリストを提示―医療等情報利活用ワーキング
医療情報システム安全管理ガイドライン改訂版の骨子を公表、病院院長等もサイバー攻撃の恐ろしさを十分に認識せよ!
救急医療における患者の診療情報確認、救急医療従事者に特別権限付与し「通常の端末」で確認する仕組みに―医療等情報利活用ワーキング(2)
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)
サイバー攻撃に備え、各医療機関で「平時対応→攻撃検知→初動対応→復旧対応→事後検証」を盛り込んだBCP策定を—厚労省
医療機関のサイバーセキュリティ対策チェックリスト「2024年度版」を公表、システムベンダと協力し平時からの対策強化を—厚労省
診療録管理体制加算1で求められるサイバーセキュリティ対策の詳細、システムベンダの協力が重要―疑義解釈1【2024年度診療報酬改定】(6)
過去の診療情報を活用して質の高い効率的な医療を可能とする医療DXを新加算で推進するとともに、サイバーセキュリティ対策強化も狙う
【2024年度診療報酬改定答申10】医療機関等のDXを下支えする加算を新設、診療録管理体制加算充実でサイバーセキュリティ対策強化
医療機関等のサイバーセキュリティ対策を「加算などで評価」すべきか、「加算など設けず義務化」すべきか—中医協総会(2)
薬局向けのサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
医療機関のサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省
院内処方情報の格納・共有、電子処方箋の中で行うか?電子カルテ情報交換サービスの中で行うか?―医療等情報利活用ワーキング(3)
サイバーセキュリティ対策は小規模病院ほど不十分、大病院でもBCP策定やリスク低減措置など進まず―医療等情報利活用ワーキング(2)
医療情報ガイドライン第6.0版を概ね了承し5月末に公表、経営層もセキュリティ対策の重要性認識を―医療等情報利活用ワーキング(1)
医療・介護等の情報利活用、「なぜ必要なのか、メリット・リスクは何か」の国民への丁寧な周知が重要—健康・医療・介護情報利活用検討会
医療機関等のサイバーセキュリティ対策、「まず何から手を付ければよいか」を確認できるチェックリストを提示―医療等情報利活用ワーキング
医療情報システム安全管理ガイドライン改訂版の骨子を公表、病院院長等もサイバー攻撃の恐ろしさを十分に認識せよ!
救急医療における患者の診療情報確認、救急医療従事者に特別権限付与し「通常の端末」で確認する仕組みに―医療等情報利活用ワーキング(2)
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)
医療法に「オンライン診療」を実施・受診する場などの規定を明示、適切なオンライン診療を推進する環境整える—社保審・医療部会(1)
産科医療補償制度、過去に「補償対象外」とされた脳性麻痺児を特別救済する事業を2025年1月からスタート