1. トップ
  2. トピックス
  3. 医療法施行規則改正により医療機関でのサイバーセキュリティ対策が義務化

医療法施行規則改正により 医療機関でのサイバーセキュリティ対策が義務化

医療機関でのサイバーセキュリティ対策が義務化

厚生労働省は、2023年3月10日に医療法施行規則の改正を告知 ( https://www.pref.fukuoka.lg.jp/uploaded/attachment/187975.pdf ) し、サイバーセキュリティ確保のための措置を義務化しました。対象は病院、診療所及び助産所で、施行は4月1日からです。

医療法改正の概要と立入検査について

  • 医療法施行規則第 14 条第 2 項を新設し、病院、診療所又は助産所の管理者が遵守すべき事項として、サイバーセキュリティの確保について必要な措置を講じることを追加する。
  • 令和 5 年 3 月 10 日公布、4 月 1 日施行
  • 「必要な措置」としては、最新の「医療情報システムの安全管理に関するガイドライン」(以下「安全管理ガイドライン」という。)を参照の上、サイバー攻撃に対する対策を含めセキュリティ対策全般について適切な対応を行うこととする。
  • 安全管理ガイドラインに記載されている内容のうち、優先的に取り組むべき事項については、厚生労働省においてチェックリストを作成し、各医療機関で確認できる仕組みとする。
  • また、医療法第25条第1項に規定に基づく立入検査要綱の項目に、サイバーセキュリティ確保のための取組状況を位置づける。
  • 令和 5 年 4 月 1 日 改正省令施行
  • 5 月末頃 「医療法第 25 条第 1 項の規定に基づく立入検査要綱の一部改正について」及び「令和5年度の医療法第 25 条第 1 項の規定に基づく立入検査の実施について」(通知)発出
  • 6 月頃 立入検査開始
医療法に基づく立入検査について

医療情報システムの安全管理に関連する法令

医療法以外に医療情報システムの安全関する法令として以下の関連法令があります。

  • 個人情報の保護に関する法律(平成 15 年法律第 57 号)
  • e-文書法、厚生労働省の所管する法令の規定に基づく民間事業者等が行う書面の保存等における情報通信の技術の利用に関する省令(平成17年厚生労働省令第44号)及び「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」(平成 17 年 3 月 31 日付け医政発第 0331009 号・薬食発第 0331020 号・保発第 0331005 号厚生労働省医政局長・医薬食品局長・保険局長連名通知。平成 28 年3 月 31 日最終改正。)
  • 診療録等の保存を行う場所について」(平成 14 年 3 月 29 日付け医政発第 0329003 号・保発第0329001 号厚生労働省医政局長、保険局長連名通知。平成 25 年 3 月 25 日最終改正。)
  • 医療従事者等が作成する文書については、医師法における診療録の他、各法令が求める内容に従って作成する必要がある。その上で、電磁的記録による保存を行うことができる文書等に記録された情報を電子媒体に保存する場合には、当該情報の見読性・真正性・保存性が確保されている必要がある。
  • 医療情報を含む文書であって署名を求めるものに対して、電子署名を施す場合には、電子署名及び認証業務に関する法律(平成 12 年法律第 102 号)第 2 条に基づく電子署名を行うほか、医療情報システム管理ガイドラインに基づき適切な措置を講じることが求められる。

医療情報システム安全管理ガイドライン

2023 年 4 月からのネットワーク関連のセキュリティ対策の義務化にともない、医療情報システムの安全に関するガイドライン全体の構成を見直し第6.0版に改正されます。

安全管理ガイドライン6.0では、ネットワークセキュリティに関しては、従来の境界防御型思考に加え、すべてのトラフィックについての安全性を検証するというゼロトラスト思考の有効性は認められるものの、実装するための費用や管理に対する負担が大きいため、導入に当たってはリスク分析の結果を踏まえて判断することが望ましいとしています。

但し、境界防御ではサイバー攻撃への対応としては十分ではないことから、境界防御を採用する場合でも、トラフィックの監視等、多層防御の考え方を導入することが、医療機関等においては求められています。

さらに、外部からのサイバー攻撃の高度化・多様化に鑑みると、境界防御の対策を行っていたとしても、不正ソフトウェア等の攻撃や侵入があることから、内部脅威監視やEDRなどの措置を講じることも、有効な対策としています。

出典:厚生労働省 医療情報システムの安全に関するガイドライン第6.0版 システム運用編 

医療情報システム安全管理ガイドライン第6.0が正式決定

医療情報システム安全管理ガイドライン第6.0が正式決定 「医療情報システム安全管理に関するガイドライン」第6.0が正式決定して、2023年5月31日に、厚生労働省のWebサイト( https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html )で公開されました。
主な改正ポイントは次の4つです。
  • 外部委託、外部サービスの利用に関する整理
    • クラウドサービスの特徴を踏まえたリスクや対策の考え方
    • 医療機関等のシステム類型別に対応した責任等の整理 等
  • 情報セキュリティに関する考え方の整理
    • ネットワーク境界防御型思考/ゼロトラストネットワーク型思考
    • 災害、サイバー攻撃、システム障害等の非常時に対する対応や対策 等
  • 新技術、制度・規格の変更への対応
    • オンライン資格確認の導入に必要なネットワーク機器等の安全管理措置
    • 新たなネットワーク技術(ローカル5G)の利用可能性、利用場面
    • 医療情報の共有・提供に関連する法令等の規定や技術・規格の動向
  • 本人確認を要する場面での運用(eKYCの活用)の検討
医療機関におけるサイバーセキュリティ対策チェックリスト
ガイドラインの他にQ&Aやサイバーセキュリティ対策チェックリスト も公開されています。

医療機関等の経営と医療情報システムの安全性

医療情報システムの安全管理(セキュリティ)対策は経営・運営に直接影響を及ぼす重要な課題

  • 医療機関等の意思決定・経営層が、医療情報システムに関する適切な安全管理対策を実施せずに、情報セキュリティインシデントを生じさせた場合、地域・社会に対して損害を与えるほか、リスク管理やインシデント対応の是非、さらには経営責任や法的責任が問われることあります。
  • 医療情報システムに対するサイバー攻撃は年々高度化、巧妙化しています。診療行為の停止が余儀なくされたり、復旧に多大な費用を要したりするなどの被害のほか、地域の診療体制にも影響が生じるような深刻な事態に至り、地域医療の安全が脅かされます。

情報漏洩、サイバー攻撃などに関するセキュリティ対策は重要な経営課題!
深刻な事態に至った際には、地域医療の安全が脅かされることも発生!

(厚生労働省 医療情報システムの安全に関するガイドライン第6.0版 - P.9より)
MENU