医療機関のサイバーセキュリティ対策強化に向けて、コスト支援や人的・技術的支援などが重要―医療等情報利活用ワーキング
2025.7.28.(月)
医療機関のサイバーセキュリティ対策の状況を見ると、対策が進んでいる部分(電子カルテのバックアップデータ作成やUSB接続制限など)と、なかなか進まない部分(2要素認証など)とある—。
診療報酬での対応や、チェックリストに盛り込まれた事項では対策が進んでおり、今後、コスト支援や、外部専門家や行政による人的・技術的支援などが重要である—。
医療機関におけるサイバーセキュリティ対策のベースとなる「医療情報システムの安全管理に関するガイドライン」について、昨今の社会情勢などを踏まえた改善・改定を行う—。
7月24日に開催された健康・医療・介護情報利活用検討会の「医療等情報利活用ワーキンググループ」(以下、ワーキング)で、こうした議論が行われました。
7月24日に開催された「第25回 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ」
医療機関だけでなく、ベンダや行政も協力したサイバーセキュリティ対策強化を
質が高く、効率的な医療提供を可能とするために「医療DX」の推進が重視されていますが、そこでは「医療機関などのサイバーセキュリティ対策」も極めて重要となります。
しかし医療機関等の対策は必ずしも十分とは言えず、実際に大きな被害も生じています。このため、厚労省では、例えば次のような取り組みを行っています。
(1)「医療情報システムの安全管理に関するガイドライン」を改訂し、その遵守を求める(関連記事はこちらとこちら)
(2)都道府県による立入検査(医療法第25条第1項・第3項)において「サイバーセキュリティ対策」確認を求める(2023年6月からの検査に適用、関連記事はこちら)
(3)医療機関・システムベンダー向けのサイバーセキュリティ対策に向けたサイバーセキュリティ対策の「チェックリスト」を提示する
(4)医療機関において「サイバー攻撃を防ぐ」ことにとどまらず、「攻撃を受けた際にどう対応し、どう復旧するか」も見据えたBCP(事業継続計画)を各医療機関で策定することが重要であるとし、「平時対応→攻撃検知→初動対応→復旧対応→事後検証」を盛り込む「「サイバー攻撃を想定した事業継続計画(BCP)」策定の確認表を公表(関連記事はこちら)。
また、こうした取り組みにはコストもかかるため2024年度診療報酬改定での手当て(【診療録管理体制加算】の見直しなど)も行われました。
あわせて、2024年度補正予算・2025年度予算案でも医療機関のサイバーセキュリティ確保支援を行っています(関連記事はこちら)。
こうした厚労省等の動きを踏まえて、医療機関サイドがサイバーセキュリティ対策にどの程度力を入れているのかも気になります。厚労省は、今般、2025年の「病院における医療情報システムのサイバーセキュリティ対策に係る調査」結果を報告しました(2024年の調査結果に関する記事はこちら、2023年の調査結果に関する記事はこちら)
本年(2025年)1月27日から3月7日に、8117病院を対象に調査を実施しており、そこから次のような状況が明らかになりました(回答病院は5842施設で、回答率は72.0%)。
▽回答率は病院規模が小さいほど低い(前年度調査と同様の傾向)
▽CISO(施設・組織における情報セキュリティの統括責任者)設置は、全体では73%だが、大規模病院ほど設置が進み、500床以上では96%
▽CISOのうち「医療情報に関連した資格」(IPA(情報処理推進機構)の資格、民間資格含む)保持者は15%にとどまる(500床以上病院でも21%どまり)
▽病院における「情報システム部門の所属人数」は、300床未満では「ゼロ人」の病院が最も多く、300床以上では「3-5人」の病院が最も多い
サイバーセキュリティ対策調査結果1(医療等情報利活用ワーキング1 250724)
▽「各診療部門に情報セキュリティ担当者を設置している」病院の割合は31%にとどまる(500床以上病院でも44%)
サイバーセキュリティ対策調査結果2(医療等情報利活用ワーキング2 250724)
▽「インシデント発生時の対策チーム(組織内CSIRT)を設置している」病院の割合は、全体では42%だが、大規模病院ほど設置が進み、500床以上では62%
サイバーセキュリティ対策調査結果3(医療等情報利活用ワーキング3 250724)
▽JAHIS(保健医療福祉情報システム工業会)およびJIRA(日本画像医療システム工業会)が策定した「製造業者による医療情報セキュリティ開示書(MDS)」・「サービス事業者による医療情報セキュリティ開示書(SDS)」を用いて点検を行っている病院の割合は、全体では59%(前年調査から4ポイント向上)だが、大規模病院ほど設置が進み、500床以上では85%(同4ポイント向上)
サイバーセキュリティ対策調査結果4(医療等情報利活用ワーキング4 250724)
▽事業継続計画(BCP)策定病院の割合は、全体では57%(前年調査から30ポイント向上)。大規模病院ほど設置が進み、500床以上では79%(同4ポイント向上)
サイバーセキュリティ対策調査結果5(医療等情報利活用ワーキング5 250724)
▽「BCPで策定された対処手順が適切に機能するか」を【訓練】等で確認している病院の割合は、全体では38%(前年調査から4ポイント向上)。大規模病院ほど設置が進み、500床以上では66%(同17ポイント向上)
サイバーセキュリティ対策調査結果6(医療等情報利活用ワーキング6 250724)
▽サーバ、端末PC、ネットワーク機器の台帳管理は9割の病院(500床以上病院では98%)で行われている
▽ネットワーク構成図を定期的に更新し、各部門の外部接続点の数を把握できている病院の割合は、全体では74%。大規模病院ほど設置が進み、500床以上では89%
▽「サイバー攻撃に係る注意喚起や脆弱性情報」を日頃から収集・確認している病院は、全体では83%(前年調査から1ポイント向上)。大規模病院ほど設置が進み、500床以上では96%(同増減なし)
サイバーセキュリティ対策調査結果7(医療等情報利活用ワーキング7 250724)
▽ネットワーク機器に定期的にセキュリティパッチを適用している病院の割合は74%(規模の大小による大きな違いはなく、500床以上でも76%)
▽サーバ、端末PCに対し定期的にセキュリティパッチを適用している病院の割合は、全体では61%だが、大規模病院ほど適用が進まず、500床以上では40%
サイバーセキュリティ対策調査結果8(医療等情報利活用ワーキング8 250724)
▽医療情報システムに「2要素認証」を導入している病院は、非常に少なく全体では11%で、500床以上病院でも31%どまり
サイバーセキュリティ対策調査結果9(医療等情報利活用ワーキング9 250724)
▽U S Bメモリ等の外部接続媒体の運用管理規程やシステムによる制限は進んでおり、全体では83%、500床以上病院では99%に達する
▽医療機関とシステム事業者等の役割を契約書やサービスレベル合意書に落とし込んでいる病院の割合は、全体では51%、500床以上病院でも61%にとどまる
▽自組織において電子カルテシステムを使用している病院は、全体では71%(前年調査から1ポイント向上)。大規模病院ほど設置が進み、500床以上では96%(同1ポイント低下)
▽電子カルテのバックアップ状況は次のとおり
▼バックアップ作成は、病床規模によらず100%近い
▼3個以上のバックアップ作成割合は、全体では43%(前年調査から1ポイント向上)。大規模病院ほど設置が進み、500床以上では60%(同7ポイント向上)
サイバーセキュリティ対策調査結果10(医療等情報利活用ワーキング10 250724)
▼2種類以上のバックアップ媒体作成割合は、全体では60%(前年調査から4ポイント向上)。大規模病院ほど設置が進み、500床以上では82%(同17ポイント向上)
サイバーセキュリティ対策調査結果11(医療等情報利活用ワーキング11 250724)
▼3世代以上のバックアップ作成割合は、全体では65%(前年調査から3ポイント向上)。大規模病院ほど設置が進み、500床以上では73%(同8ポイント向上)
サイバーセキュリティ対策調査結果12(医療等情報利活用ワーキング12 250724)
対策が進んでいる部分(電子カルテのバックアップデータ作成やUSB接続制限など)と、なかなか進まない部分(2要素認証など)とあることが伺えます。この点について長島公之構成員(日本医師会常任理事)は「チェックリストへの盛り込みや診療報酬での対応(診療録管理体制加算での要件設定など)により、病院側にメッセージが伝わった部分、さらにコストがかからない部分は対策が進んでいる。今後、『病院側に伝えるメッセージの在り方』『コスト支援』『外部専門家や行政による人的・技術的支援』などが重要であることが分かる。病院経営が極めて厳しい中で、支援がなければ、当面、セキュリティ対策は進んでいかない」とコメント。
また、▼十分なセキュリティ対策の構築には、相応の「コスト」が必要となり、それはどの程度で、どのくらいのハードルになっているのかも調べるべき(山口育子構成員:ささえあい医療人権センターCOML理事長)▼2要素認証(2027年度から義務化)の導入が極めて低い。今後の医療情報システムのクラウド移行を見据えたとき、2要素認証の未実施はあり得ない。ネックとなっている部分を明確にし、対策を考えるべき(高倉弘喜構成員:国立情報学研究所ストラテジックサイバーレジリエンス研究開発センター長、小尾高史構成員:東京科学大学総合研究院教授)—などの意見も出ています。
識者からは「多くの医療機関は『鍵をかけていない金庫』のような状況にある」との指摘があります。医療機関・システム事業者・行政(国・自治体)が連携してサイバーセキュリティ対策を進める必要があります。
「医療情報システムの安全管理に関するガイドライン」、さらなる改善・改定を進める
このほか、7月24日のワーキングでは、次のような点も議論し、了承しています。
●医療情報システムの安全管理に関するガイドラインの改定
▽ガイドラインは、2023年5月に「第6.0版」へ改定・公表された(関連記事はこちら)
▽医療情報の安全管理を強固なものとするため、セキュリティ対策技術の進展や、社会情勢の変化に対応した内容への改定を行う
↓
▽ワーキング構成員からは「現場医療機関での分かりやすさ、使いやすさ」を重視せよとの指摘多数
ガイドライン改定論点1(医療等情報利活用ワーキング13 250724)
ガイドライン改定論点2(医療等情報利活用ワーキング14 250724)
●救急隊と医療機関の情報連携の強化
▽救急現場において、救急隊が利用する「マイナ救急」と、病院で利用する「救急時医療情報閲覧」(救急用サマリ)とがある
▽両システムは独立して運用され、例えば▼救急隊が閲覧した医療情報等を、搬送先病院が「搬送前に閲覧する」ことができない▼救急車・病院が、それぞれでマイナ保険証を取り出して、それぞれでカードリーダーで読み取らなければならない—などの不便がある
▼医療機関と救急隊の情報連携を円滑に行うため、「救急隊と医療機関がオンライン資格確認等システム経由で情報連携できる環境」を新たに構築し、搬送先医療機関が、傷病者が到着する前に医療情報等を閲覧できるようにすることを検討する
救急時の医療情報共有に向けて(医療等情報利活用ワーキング15 250724)
●健康診査結果の医療機関等、医療保険者(健康保険組合、協会けんぽ、国民健康保険など)との共有
▽電子カルテ情報共有サービスにおいて、「医療機関等で共有し、マイナポで閲覧できる健診項目」は、制度上の必須項目等とする
▽医療保険者に対し共有する項目も、医療機関等・マイナポに共有する項目と同一とする
▽人間ドック等のその他の健診については、実施主体にかかわらず、保険者に共有することについての「本人の同意」を問診票等で取得し、同意取得できた場合にのみ共有(共有項目は他と同じく、医療機関等・マイナポに共有する項目と同一とする)
健診内容の共有に向けて(医療等情報利活用ワーキング16 250724)
共有健診項目(医療等情報利活用ワーキング17 250724)
【関連記事】
医科クリニックでは「標準型電子カルテ」の導入を、病院では「電子カルテ情報共有サービス」対応可能なシステム改修をまず推進—厚労省
病院の電子カルテ等のクラウド化・共有化、2025年度目途に国が標準仕様示し、30年までに希望病院が導入できる環境整える—厚労省
医療機関等はサイバー攻撃に備え「適切なパスワード設定、管理」「USB接続制限」「2要素認証」等確認を—―医療等情報利活用ワーキング(2)
電子カルテ情報共有サービスのモデル事業、まず藤田医大病院中心に開始、「病名」の取り扱いルールなども検討―医療等情報利活用ワーキング(1)
新たな地域医療構想・医師偏在対策・医療DX・オンライン診療法制化など「医療提供体制の総合改革」案とりまとめ—社保審・医療部会
病院の情報システム(電子カルテ、部門システム等)、セキュリティ確保や制度改正対応踏まえ「クラウド移行」を検討―医療等情報利活用ワーキング
NDBやDPC等の利用しやすい「仮名化情報」を研究者等に提供、優れた医薬品開発や医療政策研究につなげる—社保審・医療部会(2)
NDBやDPC等のデータを「より利用しやすく」研究者等に提供、電子カルテ情報との連結解析等も可能に—社保審・医療保険部会
電子カルテ情報共有サービス、地域医療支援病院・特定機能病院・2次救急病院等に導入の努力義務を課す—社保審・医療部会(2)
電子カルテ情報共有サービス、地域医療支援病院・特定機能病院・2次救急病院等で導入努力義務を課してはどうか—社保審・医療保険部会(1)
厚労省が「近未来健康活躍社会戦略」を公表、医師偏在対策、医療・介護DX、後発品企業再編などを強力に推進
2025年1月から無床診療上向けの標準型電子カルテのモデル事業を実施、既存電子カルテの標準化改修も支援—社保審・医療部会(1)
診療録管理体制加算1の要件ともなる「サイバー対策BCP」策定等、2024年3月時点では十分に進んでいない―医療等情報利活用ワーキング(2)
電子カルテ情報共有サービスに向けた病院システム改修費、408万5000円-657万9000円上限に1/2補助―医療等情報利活用ワーキング(1)
2024年度からの電子カルテ情報共有サービス運用に向け「6情報共有のコード」など細部を整理―医療等情報利活用ワーキング
救急患者への治療に当たり「直近の診療・薬剤情報など迅速・勘弁に検索できる救急用サマリ」を作成―医療等情報利活用ワーキング(2)
患者に「傷病名、検査、処方」等情報と「医師からの療養上の指導・計画」情報をセット提供する新サービス―医療等情報利活用ワーキング(1)
院内処方情報の格納・共有、電子処方箋の中で行うか?電子カルテ情報交換サービスの中で行うか?―医療等情報利活用ワーキング(3)
サイバーセキュリティ対策は小規模病院ほど不十分、大病院でもBCP策定やリスク低減措置など進まず―医療等情報利活用ワーキング(2)
医療情報ガイドライン第6.0版を概ね了承し5月末に公表、経営層もセキュリティ対策の重要性認識を―医療等情報利活用ワーキング(1)
医療・介護等の情報利活用、「なぜ必要なのか、メリット・リスクは何か」の国民への丁寧な周知が重要—健康・医療・介護情報利活用検討会
医療機関等のサイバーセキュリティ対策、「まず何から手を付ければよいか」を確認できるチェックリストを提示―医療等情報利活用ワーキング
医療情報システム安全管理ガイドライン改訂版の骨子を公表、病院院長等もサイバー攻撃の恐ろしさを十分に認識せよ!
救急医療における患者の診療情報確認、救急医療従事者に特別権限付与し「通常の端末」で確認する仕組みに―医療等情報利活用ワーキング(2)
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)
サイバー攻撃に備え、各医療機関で「平時対応→攻撃検知→初動対応→復旧対応→事後検証」を盛り込んだBCP策定を—厚労省
医療機関のサイバーセキュリティ対策チェックリスト「2024年度版」を公表、システムベンダと協力し平時からの対策強化を—厚労省
診療録管理体制加算1で求められるサイバーセキュリティ対策の詳細、システムベンダの協力が重要―疑義解釈1【2024年度診療報酬改定】(6)
過去の診療情報を活用して質の高い効率的な医療を可能とする医療DXを新加算で推進するとともに、サイバーセキュリティ対策強化も狙う
【2024年度診療報酬改定答申10】医療機関等のDXを下支えする加算を新設、診療録管理体制加算充実でサイバーセキュリティ対策強化
医療機関等のサイバーセキュリティ対策を「加算などで評価」すべきか、「加算など設けず義務化」すべきか—中医協総会(2)
薬局向けのサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
医療機関のサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省
院内処方情報の格納・共有、電子処方箋の中で行うか?電子カルテ情報交換サービスの中で行うか?―医療等情報利活用ワーキング(3)
サイバーセキュリティ対策は小規模病院ほど不十分、大病院でもBCP策定やリスク低減措置など進まず―医療等情報利活用ワーキング(2)
医療情報ガイドライン第6.0版を概ね了承し5月末に公表、経営層もセキュリティ対策の重要性認識を―医療等情報利活用ワーキング(1)
医療・介護等の情報利活用、「なぜ必要なのか、メリット・リスクは何か」の国民への丁寧な周知が重要—健康・医療・介護情報利活用検討会
医療機関等のサイバーセキュリティ対策、「まず何から手を付ければよいか」を確認できるチェックリストを提示―医療等情報利活用ワーキング
医療情報システム安全管理ガイドライン改訂版の骨子を公表、病院院長等もサイバー攻撃の恐ろしさを十分に認識せよ!
救急医療における患者の診療情報確認、救急医療従事者に特別権限付与し「通常の端末」で確認する仕組みに―医療等情報利活用ワーキング(2)
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)
医療法に「オンライン診療」を実施・受診する場などの規定を明示、適切なオンライン診療を推進する環境整える—社保審・医療部会(1)
産科医療補償制度、過去に「補償対象外」とされた脳性麻痺児を特別救済する事業を2025年1月からスタート