GemMed | データが拓く新時代医療 > 医療提供体制改革 > 「サイバーセキュリティ確保事業」の支援対象病院選定を2025年7月18日まで延長、大規模・災害拠点・急性期病院等は積極参加を—厚労省

「サイバーセキュリティ確保事業」の支援対象病院選定を2025年7月18日まで延長、大規模・災害拠点・急性期病院等は積極参加を—厚労省

2025.6.13.（金）

2024年度補正予算・2025年度予算案では「医療機関におけるサイバーセキュリティ確保事業」を行う。この支援対象病院の選定期限を、当初の「本年（2025年）3月14日まで」から「本年（2025年）7月18日まで」延長する—。

約2000病院を支援対象と想定しているが、本年（2025年）5月末時点での応募・申請は約800病院にとどまっている。「サイバーセキュリティ対策の必要性が高い」と考えられる大規模病院・災害拠点病院・急性期病院などの積極参加に期待するとともに、都道府県は「病院からの応募・申請を待たずに、支援対象へ直接指定する」ことも検討してほしい—。

厚生労働省は6月10日に通知「『医療機関におけるサイバーセキュリティ確保事業』の実施に係る支援対象病院の追加選定について」を示し、こうした点への留意を求めました（厚労省の関連サイトはこちら、関連記事はこちら）。

各都道府県の判断で「支援病院の順位」を設定

質が高く、効率的な医療提供を可能とするために「医療DX」の推進が重視されていますが、そこでは「医療機関などのサイバーセキュリティ対策」も極めて重要となります。

しかし医療機関等の対策は必ずしも十分とは言えず、実際に大きな被害も生じています。このため、厚労省では、例えば次のような取り組みを行っています。
（1）「医療情報システムの安全管理に関するガイドライン」を改訂し、その遵守を求める（関連記事はこちらとこちら）
（2）都道府県による立入検査（医療法第25条第1項・第3項）において「サイバーセキュリティ対策」確認を求める（2023年6月からの検査に適用、関連記事はこちら）
（3）医療機関・システムベンダー向けのサイバーセキュリティ対策に向けたサイバーセキュリティ対策の「チェックリスト」を提示する
（4）医療機関において「サイバー攻撃を防ぐ」ことにとどまらず、「攻撃を受けた際にどう対応し、どう復旧するか」も見据えたBCP（事業継続計画）を各医療機関で策定することが重要であるとし、「平時対応→攻撃検知→初動対応→復旧対応→事後検証」を盛り込む「「サイバー攻撃を想定した事業継続計画（BCP）」策定の確認表を公表（関連記事はこちら）。

また、こうした取り組みにはコストもかかるため2024年度診療報酬改定での手当て（【診療録管理体制加算】の見直しなど）も行われました。

あわせて、2024年度補正予算・2025年度予算案でも医療機関のサイバーセキュリティ確保支援が行われています。
【医療機関におけるサイバーセキュリティ確保事業】（11億円）
→中・大規模病院は多数の部門システムで構成されているため、各システムを提供する事業者と個別に連携しても「全てのネットワーク接続を俯瞰的に把握する」ことは困難である点、ランサムウェア対策には「オフライン・バックアップが有効である」点などを踏まえ、医療機関におけるサイバーセキュリティの更なる確保のため▼外部ネットワークとの接続の安全性の検証・検査▼オフライン・バックアップ体制の整備—を支援する（関連記事はこちら）

医療機関のサイバーセキュリティ対策強化を支援（2025年度予算案13　241227）

さらに厚労省は本年（2025年）2月に、【医療機関におけるサイバーセキュリティ確保事業】による支援対象病院の選定を都道府県に依頼し、次のような選定にあたっての考え方を示しました（関連記事はこちら）。
【支援対象病院】
▽支援対象となる医療機関は、「電子カルテシステムを導入している病床数20床以上の病院」（約2000病院）とし、次の要件を満たす施設とする
▼2025年度中に院内情報システム更改を予定している場合、「2026年1月までに現地調査を完了できる見込み」であること
▼2024年度に実施された「医療機関におけるサイバーセキュリティ確保事業」で調査が完了した施設で「ない」こと
▼オフライン・バックアップ支援のみの参加希望で「ない」こと

【選定手続き】
▽支援を希望する全ての病院を、別に定める【様式】「セキュリティー確保事業支援対象病院リスト」に記載する
→支援枠数を超える希望があった場合でもすべての病院を記載する

▽各都道府県で、記載した病院について「支援の順位」を指定する
→指定された順位に基づいて、都道府県毎に支援対象病院数の病院が選定される

▽順位指定は、原則「各都道府県の判断」に委ねられる
（順位指定に当たっての考え方の例）
・地域における救急等の主要な診療機能を担っており、サイバー攻撃の影響により診療停止等となった場合に地域医療に与える影響が大きいと思われる病院
・立入検査等においてセキュリティー対策が不十分と思われる病院
・2024年度事業に応募して事前調査資料を提出まで完了したが、現地調査の日程が調整つかずに辞退となった病院

▽2次選定などの追加募集を行う予定はない
→各都道府県は管内病院に十分な周知、声かけを行い、「募集の際に選定病院に漏れがない」ようにしてほしい

▽選定された支援対象病院が事業途中で辞退した場合は、同都道府県の順位に基づき、次点の病院が支援対象病院として新たに選定される場合がある

この「支援対象病院の選定」期限について、当初は「本年（2025年）3月14日（金）まで」とされていました（関連記事はこちら）。

しかし今般の通知では、この支援事業をより効果的なものとし、医療機関のサイバーセキュリティ対策を全国で確保するために、「支援対象病院の選定」期限を「本年（2025年）7月18日（金）まで」延長することを明らかにしました。

厚労省は、▼本事業で実施される「病院の医療情報システムへの外部接続点を把握・管理する」ことは、サイバーセキュリティ確保の第一歩で極めて重要である（過去のサイバー攻撃による情報漏洩事例でも「把握・管理できていない外部ネットワーク接続点からの攻撃」が起点となっている）▼来年度（2026年度）の事業継続は予定していない▼今年度（2025年度）の支援事業では、病院側の作業量負担を大きく軽減する予定である▼過去の申請で辞退したことのある病院でも、再度の申請・応募・指定が可能である—旨を明らかにし、より多くの病院がこの支援事業に積極的に参加することに期待しています。

また、上記の「2月の通知」に基づいて、すでに各都道府県は「セキュリティー確保事業支援対象病院リスト」で支援対象病院の選定結果を厚労省に報告しています。

しかし、選定病院数が「各都道府県の対象数」（言わば支援枠）に満たない場合には、各都道府県が「対象数に達する」まで、支援対象病院を直接指定することになります（病院側の申請・応募を待たずに都道府県が「支援を受ける」ように指定する）。

この直接指定の内容は都道府県に一任されていますが、厚労省では▼病床数の多い病院（大規模病院）▼災害拠点病院▼急性期病院—などを優先することを想定しています。

さらに、選定病院数が「各都道府県対象数」に達していても、「日本全国での枠に空きがある場合には、支援対象病院を追加したい」と厚労省は考えています。上記のように、本事業の「日本全国での枠」は約2000病院となっていますが、本年（2025年）5月末時点では「800病院」が選定されるにとどまっており、厚労省は「枠は十分にある」ともコメントしています。

このように、今回の募集延長では、一部病院について「都道府県からの直接指定」がなされる可能性があります。この指定を受けた病院は「サイバーセキュリティ対策の必要性が高いが、サイバーセキュリティ対策が必ずしも十分でない可能性がある」ため、とりわけ積極的な支援事業参加が期待されます。