GemMed | データが拓く新時代医療 > 医療提供体制改革 > 医療機関のサイバーセキュリティ対策チェックリスト2025年度版を公表、強固なパスワード設定、USB等の接続制限等の徹底を—厚労省

医療機関のサイバーセキュリティ対策チェックリスト2025年度版を公表、強固なパスワード設定、USB等の接続制限等の徹底を—厚労省

2025.5.16.（金）

厚生労働省は5月14日に、本年度（2025年度）版の▼医療機関におけるサイバーセキュリティ対策チェックリスト▼医療機関におけるサイバーセキュリティ対策チェックリストマニュアル（医療機関・事業者向け）—を公表しました（日本病院会サイトはこちら）。

各医療機関は、すでに公表されている「医療情報システムの安全管理に関するガイドライン第6.0版」などと合わせて活用し、サイバーセキュリティ対策を強化していくことに期待が集まります。

院内でサイバーセキュリティ確保ルールを明文化し、二要素認証も早期導入を

Gem Medでも繰り返し報じているとおり、「ランサムウェアと呼ばれるコンピュータウイルスにより、医療機関等が多大な被害を受けてしまう」事例が散発しています。2021年秋には徳島県の病院が、2022年秋には大阪府の大規模急性期病院が被害にあい、電子カルテをはじとする医療データがすべて利用できなくなり（暗号化されてしまうなど）、長期間の診療停止を余儀なくされました。こうしたサイバー攻撃を受けた場合、対策が十分になされていなければ「医療機関閉鎖」（いわゆる倒産）にも追い込まれかねない状況にもつながります。

こうしたサイバー攻撃に備えるため、厚生労働省は次のような取り組みを順次進めています。

（1）「医療情報システムの安全管理に関するガイドライン」を改訂し、その遵守を求める（関連記事はこちらとこちら）
（2）都道府県による立入検査（医療法第25条第1項・第3項）において「サイバーセキュリティ対策」確認を求める（2023年6月からの検査に適用、関連記事はこちら）
（3）医療機関・システムベンダー（事業者）向けのサイバーセキュリティ対策に向けたサイバーセキュリティ対策の「チェックリスト」を提示し、これに基づいて▼各医療機関等が自己点検を行う▼都道府県が（2）の立入検査を行う—
（4）医療機関において「サイバー攻撃を防ぐ」ことにとどまらず、「攻撃を受けた際にどう対応し、どう復旧するか」も見据えたBCP（事業継続計画）を各医療機関で策定することが重要であるとし、「平時対応→攻撃検知→初動対応→復旧対応→事後検証」を盛り込む「サイバー攻撃を想定した事業継続計画（BCP）」策定の確認表を公表する（関連記事はこちら）。

また、こうした取り組みにはコストもかかるため2024年度診療報酬改定での手当て（【診療録管理体制加算】の見直しなど）も行っています。

このうち（3）のチェックリストについては、すでに2023年度版・2024年度版が示され、次のような点の確認を医療機関等・システムベンダーに求めるとともに、都道府県で各医療機関の状況を検査するよう求めています（関連記事はこちら）。
▽医療情報システム安全管理責任者を設置しているか

▽医療情報システム全般について、「サーバ、端末PC、ネットワーク機器の台帳管理」「リモートメンテナンス（保守）を利用している機器の有無の事業者等への確認」「事業者から製造業者／サービス事業者による医療情報セキュリティ開示書（MDS／SDS）提出の確認」を行ったか

▽サーバについて、「利用者の職種・担当業務別の情報区分毎のアクセス利用権限設定」「退職者や使用していないアカウント等、不要なアカウントの削除」「アクセスログの管理」「セキュリティパッチ（最新ファームウェアや更新プログラム）の適用」「バックグラウンドで動作している不要なソフトウェア・サービスの停止」を行っているか

▽端末PCについて、「利用者の職種・担当業務別の情報区分毎のアクセス利用権限の設定」「退職者や使用していないアカウント等、不要なアカウントの削除」「セキュリティパッチ（最新ファームウェアや更新プログラム）の適用」「バックグラウンドで動作している不要なソフトウェア及びサービスの停止」を行っているか

▽ネットワーク機器について、「セキュリティパッチ（最新ファームウェアや更新プログラム）の適用」「接続元制限」を行っているか

▽インシデント発生時における組織内と外部関係機関（事業者、厚労省、警察等）への連絡体制図があるか

▽インシデント発生時に「診療を継続する」ために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認しているか

▽サイバー攻撃を想定した事業継続計画（BCP）を策定しているか

さらに今般、2025年度版のチェックリストが示されました。昨今、サイバー攻撃事案で明らかになった「医療機関等側の問題点」を踏まえて、上記に加えて次のような点の確認が求められています（関連記事はこちら）。

【パスワードの適切な管理・設定を行う】
▽パスワードを「強固なもの」にし、使い回しをしないよう適切な管理・設定を行っているかを確認する
▽ベンダーは「事業者側の管理」に加え、「医療機関に導入したサーバ、ネットワーク機器」についても確認する

（強固なパスワード）
・長く、複雑で、推測困難
・13桁以上（桁数が多いほど、機械的な総当たりでの解析が困難）
・英数字、大文字・小文字、記号の混在（組み合わせが多いほど解析が困難）
・ランダムな文字列（単語等の組み合わせによる解析を回避）
・複数機器や外部サービス等で、同一のパスワードを設定しない

（危険なパスワード使い回し例）
・施設内のサーバ、ネットワーク機器等に同一のパスワードを用いている
・事業者が契約している個別の施設に対して同一のパスワードを用いて管理している
・出荷時のパスワードから変更を行っていない

【USBストレージ等の外部接続機器に対しての接続制限をしているか】
▽USBストレージ等の外部接続機器に対する接続制限に関する確認を求める
▽業務の必要性があって外部接続機器を利用する場合には、「記録媒体」「記録機器の保管・取り扱い」（例えば、病院の情報システム部門が管理する特定の記録媒体以外の読み込みを不能とし、「利用前に記録媒体のウイルススキャン」を行い、「利用後に初期化を行う」など）を適切に行うよう関係者に周知徹底し、その利用にあたって教育を実施することの確認を求める

個人情報漏洩等の原因別内訳（医療等情報利活用ワーキング（2）2　250313）

【2要素認証を実装しているか】
▽2023年度から端末等への実装を促してきた2要素認証技術について、予定を確認して円滑に導入が進むようチェック項目に追加する（2027年度の導入を目指しており、現時点では「導入予定」でもよいが、意識を高めておく必要がある）
▽各医療機関等における医療情報システムの次期更新時に向けて「2要素認証導入についての確認」を行う（同）
▽ベンダーにおいても、医療情報システムの次期更新に合わせた2要素認証導入について、医療機関等への情報提供を行う
（2要素認証）
以下のいずれか2要素を用いてアクセス権限の認証を行う
・ID・パスワードの組み合わせのような「利用者の記憶」によるもの
・指紋や静脈、虹彩のような利用者の生体的特徴を利用した「生体情報」によるもの
・ICカードのような「物理媒体」によるもの

【規程類の整備がなされているか】
▽サイバーセキュリティ対策チェックリストにおいても「運用管理規程の整備状況」についての項目を追加する(ルールの明文化と、それに沿った運用が重要である)

これらの事項について、各医療機関においてチェックを実施。不備がある場合には「いつまでに完了するのか」の目標日を設定し、事業者（システムベンダー）と協力して、急ぎ対応を図ることが求められます。

（2）の立ち入り検査の際に、チェックリストの確認がなされます。

「医療機関は、鍵のかかっていない金庫のようなもの」と指摘する声もあり、診療報酬（【診療録管理体制加算】など）も活用しながら、セキュリティ対策の充実を図ることが重要です。