医療情報ガイドラインを分かり易く解説！専門家が見るセキュリテイ対策のポイントと要点

「医療情報システムの安全管理に関するガイドライン第6.0版、4つの編に分かれていて、正直どこから読めばいいか分からない…」

「結局、うちの組織ではどの編の何に注目すればいいの？」

そんな疑問や不安を感じている医療機関の情報システムご担当者様も、きっと少なくないはずです。

2023年5月に新しくなったこのガイドライン、内容は多岐にわたります。

この記事では、複雑に思えるガイドライン第6.0版のポイントを絞り、「まず何をすべきか」という基本と、「専門家が見る重要ポイント」を分かりやすくお伝えします。

あわせて読みたい

命を守れ！医療機関のサイバー攻撃の実態と5つの脆弱性対策

驚くべき実態が：命をつなぐ医療機関のサイバーセキュリティの現状   近年、医療機関を標的としたサイバー攻撃が急増しています。患者の安全と個人情報が危険にさらされる事態が、もはや他人事ではなくなってきました。 厚生労働省が実施した最新の調査結果には、驚くべき実態が浮き彫りになっています

医療情報ガイドラインの全体像と4つの構成編

医療情報システムの安全管理に関するガイドラインとは？

厚生労働省が定める「医療情報システムの安全管理に関するガイドライン」は、患者の大切な医療情報を安全かつ適切に守るための国の指針です。

医療情報システムの安全管理や関連法令（e-文書法等）への対応を、技術的・運用管理上の観点から示しています。

2005年3月に初版が策定されて以来、技術の進展や制度改正に合わせて改定が重ねられ、最新版となる第6.0版が2023年5月に公開されました。

今回の改定では、以下の3つの大きな見直しが行われています。

対象となるのは、病院、診療所、薬局、訪問看護ステーション、介護事業者など、医療情報を扱うすべての組織です。

そして、医療情報システムの導入・運用・利用・保守・廃棄に関わるすべての方が読者となります。

【4編構成の全体像】

医療情報システムの安全管理に関するガイドライン 第6.0版 4編構成の全体像

 

01.概説編（Overview）	まず、これを読もう！【全員向け】 ガイドライン全体の「地図」。基本的な考え方を解説。
02.経営管理編（Governance）	トップの役割は？【経営層向け】 組織リーダーの責任と管理事項を規定。
03.企画管理編（Management）	ルール作りと計画はどうする？【企画・管理者向け】 実務レベルでの体制整備と規程作成方法を解説。
04.システム運用編（Control）	現場での具体的な対策は？【運用担当者向け】 技術的・具体的なセキュリティ対策を詳述。

この4編構成により、それぞれの立場の方が自分に関係する部分を効率的に理解できるようになりました。

なぜ全ての医療機関で対応必須？

「うちは小規模だから…」「システムは委託しているから大丈夫」と思われるかもしれません。

しかし、2023年4月からのオンライン資格確認導入の原則義務化に伴い、多くの医療機関でネットワークセキュリティを含む対策遵守が求められています。

さらに、医療分野へのサイバー攻撃は深刻化しています。

2022年秋には、大阪府の大規模病院がランサムウェア攻撃を受け、電子カルテ等が利用不能となり長期間診療が停止する事態が発生しました。

このような状況を踏まえ、規模の大小を問わず、すべての医療機関でガイドラインの内容を理解し、安全管理対策の実効性を高める必要があります。

一方で、対応しない場合のリスクは計り知れません。

患者の生命・身体に直接影響する可能性があるだけでなく、法的責任や信用失墜といった組織存続に関わる問題にもつながりかねません。

医療情報ガイドラインで押さえるべきポイントはここ！

1. 概説編：まず全体像を掴むためのポイント3つ【全担当者向け】

概説編は、ガイドライン全体を理解する上での「地図」のような存在です。

全ての読者が最初に読むべき編となっており、医療情報システムの安全管理の基本的な考え方や全体構成が示されています。

特に以下の3つの柱を理解することが、この後の各編を読み解く上で非常に重要です。

①情報セキュリティの3本柱「CIA」

医療情報システムを守る上で最も基本的な考え方が、「機密性（Confidentiality）」「完全性（Integrity）」「可用性（Availability）」の3要素、通称「CIA」です。

これら3つの要素は、組織の状況に合わせてバランス良く保つことが求められます。

概説編では、まずこのCIAの重要性を理解しましょう。

②「関連法令」の理解をする

概説編では、「個人情報保護法」や「医療法施行規則（サイバーセキュリティを確保する義務が書かれています）」、電子データの保存に関する法律である「e-文書法」など、医療情報システムに関係してくる主な法律が紹介されています。

ガイドライン自体が、これらの法律を守ることを大前提として作られています。

そして、ガイドラインに書かれている対策項目の多くは、これらの法律で求められていることを「具体的に、医療現場ではどうすれば実現できるのか」を示してくれています。

法令の概要を理解することで、「なぜこの対策が必要なのか」という背景が明確になり、ガイドラインへの理解が深まります。

また、法令違反のリスクを避けるためにも、これらの知識は欠かせません。

③リスク評価とリスク管理

これは、医療機関に潜む様々な「リスク」を認識し、対策を計画的に進めていくための考え方です。

形式的な対応ではなく、自分たちの組織にとって本当に重要なリスクは何かを考えることが、この「リスク評価とリスク管理」のポイントです。

IFT（脆弱性診断）専門家が見る！概説編の特に重要なポイント

脆弱性診断の専門家の視点から見ると、概説編で示されている「リスク評価に基づく対策実施」の考え方はとても大切です。

多くの組織では、「とりあえず対策を打つ」という場当たり的な対応になりがちですが、まずは自組織のリスクを正確に把握することが第一歩となります。

特に注目すべきは、「委託先事業者選定・契約時の責任分界・役割分担の明確化」です。

医療機関の多くはシステムの運用を外部に委託していますが、セキュリティ事故が発生した際の責任の所在が曖昧になりがちです。

契約時点で「誰が何に責任を持つか」を明確にしておくことで、セキュリティホールの発生を防げます。

また、ISMS（情報セキュリティマネジメントシステム）の構築・運用が推奨されている点も見逃せません。

これは単なる認証取得のためではなく、継続的な改善サイクルを回すことで、常に変化する脅威に対応できる体制を作ることが目的です。

2. 経営管理編：経営層が主導するセキュリティ体制づくり【経営層・管理者向け】

経営管理編では、医療機関のトップである経営層が、情報セキュリティに対してどのような責任を持ち、具体的に何をすべきかを定めています。

「セキュリティは情報システム部門の仕事」といった他人任せの姿勢ではなく、経営層自身がリーダーシップを発揮して、組織全体の安全を守る体制を築くことの重要性が強調されています。

①情報セキュリティに関する基本方針を組織に示す

組織として「医療情報をどう保護し、安全に管理するか」という基本方針や目標を明確に定めます。

方針があいまいでは各部署がバラバラの方向を向き、実効性ある対策は打てません。

経営層が明確な旗を振ることで、初めて組織全体が同じ目標に向かえます。

②推進体制の整備と責任者を任命する

策定方針を実行する具体的体制（情報セキュリティ委員会、CISOの任命等）と、各役割・責任範囲を明確にします。

誰が何に責任を持つかが不明確だと、問題発生時の対応が遅れたり、対策が中途半端になったりします。

各担当者が責任感を持って取り組める環境整備が不可欠です。

③必要な経営資源（ヒト・モノ・カネ）を配分する

専門人材の確保・育成、セキュリティ製品・サービスの導入費用、対策時間など、必要な経営資源を計画的に確保・配分します。

「セキュリティは重要」と言うだけでは進まないため、予算や人員の裏付けがあって初めて対策は実行できます。

経営層の本気度を示すためにも、この資源配分は重要なメッセージとなります。

④リスクマネジメントプロセスの確立と監督

組織全体の情報セキュリティリスクを定期的に評価し（リスクアセスメント）、その結果に基づき対策や優先順位を決定するプロセス（リスクマネジメント）を確立し、実施状況を監督します。

全てのリスクに完璧な対応は不可能なため、経営的視点で致命的リスクを見極め、重点対策を判断する必要があります。

⑤関係部署への指示、連携、および監督をしっかりと

策定した方針・計画に基づき、企画管理部署やシステム運用部署へ経営層が具体的指示を出し、進捗や結果報告を受け、適切に監督します。

現場任せでは、経営方針と現場の対策にズレが生じるかもしれません。

経営層が現場状況を把握し、必要に応じ軌道修正やリソース追加を行うことで、初めて組織全体のセキュリティレベルが向上します。

IFT（脆弱性診断）専門家が見る！経営管理編の特に重要なポイント

セキュリティの専門家から見て、経営層の関与で最も重要なのは「インシデント発生時の経営判断」です。

ランサムウェア攻撃を受けた際、身代金を払うか払わないか、システムを停止するかしないか、これらは現場では判断できない経営マターです。

事前に事業継続計画（BCP）を策定し、何かあったの際の判断基準や復旧優先順位を明確にしておくことが重要です。

「その時になったら考える」では、被害が拡大する一方です。

また、セキュリティ投資の考え方も重要です。

セキュリティ対策は「コスト」ではなく、将来への「投資」として捉え、適切な予算配分を行う必要があります。

例えば、脆弱性診断の結果、深刻な問題が見つかった場合、その対策に必要な予算を速やかに確保できる体制が求められます。

経営層は、定期的にセキュリティ状況の報告を受け、組織全体のリスクを把握しておく必要があります。

「専門的なことは分からない」では済まされません。

最低限、自組織のセキュリティレベルと主要なリスクについては理解しておくべきです。

3. 企画管理編：実務を回すための計画とルール整備【情報システム・セキュリティ担当者向け】

企画管理編は、医療情報システムの安全管理を実務として担当する方々、例えば情報システム部門の責任者やセキュリティ担当者が、日々の業務を円滑に進めつつセキュリティを確保するための「羅針盤」となる部分です。

経営層が打ち出した方針を受け、それを具体的な「行動計画」や組織内の「ルール」へと翻訳します。

そして、現場の隅々まで浸透させ、実際に機能する丈夫なセキュリティ体制を構築するという、とても重要な役割を担います。

いわば、組織のセキュリティ対策の「設計図」を描き、実務を回すための「エンジン」を整備する作業と言えるでしょう。

企画管理者が主体となって整備・推進すべき主な項目は、以下の5つに集約できます。

①組織体制の構築と規程を整備する

情報セキュリティを組織全体で進めるため、まず「誰が・どの範囲で・何をすべきか」という責任と権限を明確にした体制（例：情報セキュリティ委員会、各部門担当者、緊急連絡網）を構築します。

小規模でも兼任は可能ですが、最終責任者をはっきりさせることが、素早く対応できます。責任が曖昧だと対応が遅れるため、この体制構築は非常に重要です。

同時に、パスワード管理や情報の取り扱い、インシデント発生時の対応手順など、現場が迷わず行動できる具体的なルールを「情報セキュリティ対策規程」としてまとめます。

ただし、現実離れしたルールは守られず形骸化するため、自組織の実情に合った「守れる」ルール作りが肝心です。

②リスクを理解し、賢明な対策を計画する

自組織の情報資産（電子カルテ等）に対し、どのような脅威（不正アクセス等）や脆弱性が存在するかを評価します。

その結果に基づき、優先的に対処すべきリスクを特定し、具体的な対策計画（何を、いつまでに、誰が、どう行うか）を策定します。

これにより、漠然とした不安を具体的なリスクとして捉え、セキュリティ投資の効果を最大限に高めることができます。

③職員の意識向上によるセキュリティ対策の徹底

全職員に対し、セキュリティの重要性、遵守ルール、不審メールの見分け方、インシデント時の行動などを継続的に教育・訓練します。

職員一人ひとりの意識向上が、組織全体の防御力を底上げする最も効果的な手段の一つです。

「うっかりミス」や「油断」が大きな事故につながり得ることを理解してもらうために、この教育・訓練は欠かせません。

④外部委託先の管理と情報全体の管理

システム開発・運用等を外部委託する場合、委託先が十分なセキュリティ対策を実施しているかを確認・管理します。

契約時にセキュリティ要件を明記し、定期的に遵守状況をチェックします。

委託先のインシデントは委託元にも影響するため、委託先任せにせず、しっかり管理することが求められます。

同時に、医療情報の作成・利用・保管・廃棄という一連の流れ（情報ライフサイクル）全体でセキュリティを確保します。

特に、データの適切なバックアップと、そこから確実にデータを復旧させる手順を確立すること、そして不要になった情報を安全に廃棄する方法などを定めておくことが重要です。

⑤インシデント対応体制の確立と継続的改善

サイバー攻撃やシステム障害等のインシデント発生時、迅速かつ適切に対応するための具体的な手順（連絡体制、被害拡大防止策、復旧手順、報告等）を事前に準備します。

インシデントは「起こり得るもの」として備える姿勢が重要です。

いざという時に冷静かつ迅速に対応するためには、事前の計画と定期的な訓練が欠かせません。

そして、一度作った計画やルールは、組織の状況の変化や新たな脅威の出現に応じて定期的に見直し、改善していくという、継続的な取り組みが求められます。

IFT（脆弱性診断）専門家が見る！企画管理編の特に重要なポイント

脆弱性診断の観点から見て、企画管理編で特に重要なのは「リスクアセスメントの実施方法」です。

多くの組織では、リスクアセスメントが形式的なものになりがちですが、実効性のあるものにするためには、具体的な脅威シナリオに基づいた評価が必要です。

例えば、「ランサムウェアに感染した場合、どのシステムがどの程度の影響を受けるか」「内部不正により患者情報が流出した場合、どの程度の被害が想定されるか」といった具体的なシナリオを想定し、それぞれの発生可能性と影響度を評価します。

委託先のセキュリティレベルを定期的に評価し、必要に応じて改善要求を行う仕組みも必要です。

インシデント対応計画の策定では、「誰が」「いつ」「何を」するかを具体的に定めておきます。

特に初動対応は重要で、最初の1時間で何をすべきかが明確になっていないと、被害が拡大する恐れがあります。

定期的な脆弱性診断の実施計画も、この段階で組み込んでおくべきです。

年に1回程度は第三者による診断を受け、自組織のセキュリティレベルを客観的に評価することが推奨されます。

IFTの脆弱性診断について

脆弱性診断とは

【貴社の脆弱性をチェック】脆弱性診断とは、システムやネットワーク、Webサイト、アプリケーションなどにセキュリティの弱点がないか、被害可能性まで検証するプロセスです。脆弱性診断なら株式会社アイ・エフ・ティ(本社:東京都)にご相談ください。

4. システム運用編：日々の安全なシステム運用のために【システム運用担当者・委託先向け】

 

システム運用編は、日々の運用現場で実施すべき具体的な技術的・運用的対策が示されています。

経営層や企画管理者からの指示に基づき、情報システムの安定稼働とセキュリティ確保を両立させるための、いわば「最前線」の活動内容が中心となります。

①IT基盤の管理と厳格なアクセス統制

組織内のハードウェア（サーバー、PC、医療機器等）やソフトウェアといったIT資産を正確に把握し、管理台帳で一元管理します。

管理されていない機器はセキュリティリスクとなるため、守るべき対象の明確化は対策の第一歩です。

その上で、利用者ごとにIDを発行し、業務に必要な最小限のアクセス権限のみを付与（最小権限の原則）。

退職・異動者のアカウントは速やかに無効化します。

さらに、推測されにくい複雑なパスワード設定を義務付け、可能であれば多要素認証（MFA）を導入し、なりすましを徹底的に防ぎます。

誰が何にアクセスできるかをしっかりと管理し、必ず本人確認を行うこと。

これが、不正アクセスや内部不正リスクを減らす基本となります。

②多層的なネットワーク防御と最新の脅威対策

ファイアウォールや不正侵入検知/防御システム（IDS/IPS）を適切に設置・設定し、不正な通信を監視・ブロックします。

重要なサーバー群と一般の職員が使う端末のネットワークは分ける（セグメンテーション）など、ネットワークの作りにも工夫しましょう。

ネットワークはサイバー攻撃の主な侵入経路であり、多層的な防御が重要です。

あわせて、全てのサーバー・端末にアンチウイルスソフト（EPP）を導入し、ウイルスの特徴を記録した定義ファイルを常に最新に保ちます。

不審なメールの添付ファイルは開かない、怪しいウェブサイトは見ないといった基本的な対策を職員に徹底させることも欠かせません。

③システムの弱点を早期に発見し、対処する

OSやソフトウェアに存在するセキュリティ上の欠陥（脆弱性）には、提供される修正プログラム（セキュリティパッチ）をすばやく確実に適用します。

また、定期的にシステム全体の脆弱性診断を実施し、未知の脆弱性や設定不備がないかを確認し、発見された問題点にはすぐに対処します。

脆弱性はサイバー攻撃の最大の標的であり、放置すれば攻撃者に「どうぞ」と扉を開けているようなものです。

常に最新情報を収集し、迅速に対応する体制が被害を未然に防ぐために不可欠です。

④ログ収集・分析による異常検知

サーバー、ネットワーク機器、セキュリティ機器などが記録するアクセスログ、操作ログ、エラーログなどを適切に取得・保管し、不正アクセスやシステム異常、トラブルの兆候がないか、定期的に監視しましょう。

ログは、万が一トラブルが起きた時に原因を調べたり、被害の範囲を特定したりするために役立ちます。

それだけでなく、普段から監視することで攻撃の予兆を早めに見つけ、被害を未然に防いだり、最小限に抑えたりすることにもつながります。

⑤定期的なバックアップ取得する

電子カルテデータなど業務継続に不可欠な重要データは、定期的にバックアップを取得します。

そのバックアップデータは、ランサムウェア攻撃などから隔離された安全な場所（オフライン環境や別ネットワーク上のストレージ等）に保管することが重要です。

また、実際にシステム障害やサイバー攻撃が発生した場合に、バックアップからすばやく確実にデータを元に戻せる手順を作り、定期的にその手順が本当に使えるかテストしましょう。

万が一の事態でも業務を早期に再開し、患者さんへの影響をできるだけ小さくするためには、信頼できるバックアップと、いざという時に本当に役立つ復旧計画が要となります。

IFT（脆弱性診断）専門家が見る！システム運用編の特に重要なポイント

システム運用はセキュリティ対策の最前線です。

専門家が特に重視するのは、まず見落としやすい「設定の不備」をなくすこと。

高度な製品も、高度な製品も、初期設定のパスワードがそのまま、といった基本的なミスがあれば大きな弱点になります。

次に、インシデント早期発見のための「ログ監視とEDR」活用が重要です。

ログから不審な挙動をリアルタイム検知する仕組みや、高度な攻撃に対応するEDR導入が、被害拡大を防ぐ鍵となります。

また、サーバーやアプリだけでなく、ネットワーク機器も含めたシステム全体を一つの「プラットフォーム」として見て弱点を管理すること。

ネットワーク機器の不備が侵入のきっかけになることも多く、全体的な対策が必要です。

最後に、こうした対策を一度きりにせず、変化に対応するために「運用の中に脆弱性診断を組み込む」ことです。

年に一度の診断に加え、システム構成を変えた時など、環境が変わるたびに診断することで、新たなリスクの発生を防ぎ、セキュリティレベルを継続的に保つことにつながります。

システム全体を守るために

プラットフォーム診断

【クラウド環境にも対応】システム全体のセキュリティを調査したいなら株式会社アイ・エフ・ティ(本社:東京都)の「プラットフォーム診断」を。サーバやルーター、FWなどのネットワーク機器からクラウド環境までを診断し対策をご提案します。

ガイドライン活用を成功させるための3つの心得

ガイドライン第6.0版のポイントを見てきましたが、「何から手をつければ…」と迷うかもしれません。

そこで、ガイドラインを組織の力にするための「3つの心得」をご紹介します。

これらを意識すれば、セキュリティレベルを効率よく、かつ継続的に高めていけるはずです。

【心得1】最初から完璧を目指さない！自組織に合ったレベルで取り組む

ガイドラインには300以上の対策項目があります。

全てを一度に完璧にこなそうとすると、現場は疲弊してしまいます。

これでは、かえって何も進まないことにもなりかねません。

まずは、厚生労働省が公開している「医療機関におけるサイバーセキュリティ対策チェックリスト」を活用し、自組織の現状を把握することから始めてみましょう。

その上で、優先度の高い基本対策から着手し、段階的にレベルアップしていくのが現実的です。

小さな診療所が大病院と同じレベルの対策を求められても無理があります。

まずはできることから確実に実行し、徐々にステップアップしていく姿勢が大切です。

【心得2】関係者を効果的に巻き込む！組織全体での意識共有

セキュリティは担当者だけの課題ではなく、経営層から現場スタッフまで、組織全体で取り組むべきものです。

ガイドラインが4編構成になっているのも、各々が役割を理解し責任を果たすためです。

まず経営層には、セキュリティの重要性と投資の必要性を理解してもらいましょう。

次に各部門長を巻き込み、自部門での具体的な取り組みを促します。

現場スタッフには、日々の業務でセキュリティを意識できるよう、分かりやすい教育が必要です。

また、セキュリティの話は専門用語が多く、敬遠されがちです。

分かりやすい言葉と具体例で説明し、全員の理解と協力を得ましょう。

【心得3】作ったルールは定期的に見直す！継続的な改善で変化に対応

ガイドライン自体が技術進展や新たな脅威に応じて改定されるように、自組織のセキュリティ対策も一度作ったら終わりではなく、定期的な見直しが必要です。

医療を取り巻く環境は常に変化します。

新たな攻撃手法、新技術の導入、法令改正などに対応するため、少なくとも年1回は対策を見直し、必要な改善を行いましょう。

また、万が一インシデントが発生した場合は、原因を分析し再発防止策を検討することが重要です。

他院の事例からも学び、自組織の対策に活かす姿勢が求められます。

ガイドラインだけでは不十分かも…潜む脆弱性を見つける脆弱性診断

ガイドラインに沿って対策を進めることは非常に重要ですが、実はそれだけでは十分とは言えません。

なぜなら、ガイドラインは「こうすべき」という枠組みを示すものであり、個々のシステムに潜む具体的な弱点までは発見できないからです。

医療機関が優先的に取り組むべき基本対策の一つとして、「定期的な脆弱性診断と迅速なパッチ適用」が挙げられています。

これは、ガイドライン遵守と並行して、専門家による診断が必要であることを示しています。

株式会社アイ・エフ・ティは15年以上の実績と1,000件を超える診断実績を持ち、医療情報システムの特性を深く理解した専門家が、お客様のシステムを丁寧に診断します。

自動診断ツールと専門家による手動診断を組み合わせたハイブリッド診断により、効率的かつ網羅的な診断を実現。

診断後は、分かりやすい報告書と具体的な改善提案により、着実なセキュリティ向上をサポートします。

まずは現状把握から始めてみてはどうでしょうか。

まとめ：医療セキュリティの継続的には専門家のサポートが最善です

ここまで説明してきたように、医療情報システムの安全管理に関するガイドライン第6.0版は、4つの編それぞれに重要なポイントがあり、自組織の役割に合わせて理解し、実践していくことが大切です。

最初から完璧を目指すのではなく、できることから着実に進め、組織全体で取り組み、継続的に改善していく姿勢が求められます。

ガイドラインへの対応は、決して楽な道のりではありません。

しかし、患者さんの大切な情報を守り、安心・安全な医療サービスを提供し続けるためには避けて通れない道です。

さらに、ガイドライン対応と合わせて定期的な脆弱性診断を実施することで、より確実なセキュリティ対策を実現できます。

まずは、貴組織の現状やお悩みについて、お気軽にご相談ください。

専門家が最適な診断プランをご提案します。