コラム第873号:「厚生労働省の令和7年度「医療機関等におけるサイバーセキュリティ対策チェックリスト」案について」
第873号コラム:江原 悠介 理事(PwC Japan有限責任監査法人 リスクアシュアランス ディレクター)
題:「厚生労働省の令和7年度「医療機関等におけるサイバーセキュリティ対策チェックリスト」案について」
2025年3月に開催された、厚生労働省の第24回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループで令和7年度版の「医療機関におけるサイバーセキュリティ対策チェックリスト」の案が提出された。今回はこのチェックリストの更新のポイントがどこにあるかを考えたいと思う。
日本国内で医療DXに関する諸施策が本格的に開始された2023年に医療分野に関するサイバーセキュリティの規制強化が同時に行われたことは周知の通りである。医療DXというアクセルは、サイバーセキュリティというブレーキと一体になって設計されることで初めて安定的な仕組みとなる。
サイバーセキュリティというブレーキの文脈でみれば、2023年に医療法施行規則の改正に伴い、病院と助産所ではサイバーセキュリティは医療安全管理の一部として対応が義務付けられた。「具体的にどう対応する?」という問いに対して、厚労省はサイバーセキュリティ対応の実務的な指針を「医療情報システムの安全管理に関するガイドライン」に設定することで、実質的に、医療情報システム・サービス提供事業者にまでその範囲は拡大された。
一方、医療機器のサイバーセキュリティはどうするのかといえば、薬機法の基本要件基準に、医療機器メーカはしっかりライフサイクル全体を見据えたプロダクトセキュリティに対応しなければならない旨が定義された。そのうえで、医療機関は「医療機関における医療機器のサイバーセキュリティ導入に関する手引書」(医療機器版の厚労省GLに該当)、機器メーカは「医療機器のサイバーセキュリティ導入に関する手引書」(医療機器版の2省GLに該当)に従って互いにリスクコミュニケーション(情報共有に基づく互いの対策の合意形成)を行うように定められることになった。
この年から、医療機関が医療安全管理の一部としてサイバー対応(あくまで医療情報システムに限定されているが)ができているかの点検・検査が入るようになり、その際に、冒頭で触れたチェックリストの初版も作成されるに至っている。
今回の令和7年度版は令和5年度・6年度で用いられた、医療情報システム向けのサイバーチェックリスト初版のアップデート版である。初版の内容は、大規模なランサムウェア被害を医療機関が受け、診療継続性に影響が出た直前の事案を踏まえ、平時の脆弱性対応や外部との接続管理(=水際防御)&脆弱性を悪用され攻撃が発生する有事の備えとしてのサイバーBCP(パンデミック時の対応方針。ただ、実態はシステム復旧計画に近い)に力点が置かれていた。
一方、令和7年度版は、いわゆる多層防御(すでに懐かしい?)でいうところの「内部対策」が中心的に盛り込まれている。
攻撃者が院内ネットワークに侵入したリスクシナリオを想定した場合、院内の医療情報システムにおける利用者認証(認証要素)の厳格化・多重化、管理者アカウントの最小限化(least privilege)、不要なアカウントの棚卸・削除等、内部対策水準の向上は重要である。新型コロナでも海外渡航者の制限という「水際防御」を採用したにもかかわらず、ウイルスは国内に蔓延し、感染増大を招いた。そうした状況下で我々の生活慣習として求められたのが、「手洗い・うがい」等の基礎的な衛生管理、つまりフィジカル・ハイジーンの強化だった。これと同じことが今回のチェックリストの更新ポイントとしても考えられる。
なお、もう一つのポイントとして、外部記憶媒体の利用制限がある。これは情報漏えい云々でなく、サイバーセキュリティという切り口で見る限り、内部職員や外部業者が持ち込んだ記憶媒体にマルウェアが紛れ込んでいて、院内ネットワークを介して感染が広がる事態への対策に力点を置いて考える必要がある。(当然情報漏えい対策という面もありますよ)
もちろん、他業界比較でみてサイバー・ハイジーンと言い切るには微妙な感はある。ただ、様々な医療者による多職種連携が前提で、かつ、常勤・非常勤・スポット勤務等、流動性が高く、さらには取り扱うデータの多くが法定保存文書(長期にわたる保存が義務付けられている文書)でありアカウント削除一つとっても大騒ぎしがちで、いままで閉域網神話に依存し、内部対策もロクに行われていなかった医療業界を考えた場合、こうした初歩的な取組ですら難しいというのが実情である。そのため、これらの取組がチェックされる仕組み(=チェックされるということは、強制的にやらなければならなくなる)は重要だとおもっている。※:ちなみに、「いや、チェックリストの項目はすでに厚労省安全管理GLの要求事項を持ってきているだけで、本来実施していないとダメなはずだ」とか、「リモート接続用のVPN機器といった入口対策にも認証管理等の内部対策はあるだろ」等の正論はわかったうえで書いています。このコラムの分量では書ききれないため、こうした内容にしています。
サイバーセキュリティ対策チェックリストが厚労省安全管理GLのうち、最も基礎的な要件群のみを抽出している点は利用マニュアルに記載されている。そうした要件群に内部対策の要件が入り込んできたことは、一つの「前進」ととらえていいのではないかと思われる。医療DXというアクセル面の取組も前進(?)しているなか、医療分野におけるサイバーセキュリティという取組も、ゆっくりだが、前に向かって進みはじめていることだけは確かである。
以上
【著作権は、江原氏に属します】
