カート
会員登録
ログイン
AIの高度化により、医療情報システムや院内ネットワークに接続された機器の脆弱性探索が容易になり、サイバー攻撃の頻度や高度化が懸念されています。政府からも、医療機関に対するサイバー攻撃について継続的な注意喚起が行われています。
政府の「国家安全保障戦略」では、医療分野も社会の重要インフラのひとつとして位置づけられています。その取り組みの中では、サイバー攻撃によるインシデント発生時の診療への影響を最小限に抑えるため、『医療情報システムの安全管理に関するガイドライン』の周知・啓発が重要である、とされています。
こうした中、『医療情報システムの安全管理に関するガイドライン』の改定版である「第7.0版」が公表予定となっています。今回の改定は、従来の「6.X版」から「7.X版」へのメジャーバージョンアップに位置づけられます。
第7.0版の全体構成では、これまでの「概説編」「経営管理編」「企画管理編」「システム運用編」に加え、専門人材が不足している小規模医療機関を想定した「保守委託機関編」が新たに追加されました。システム保守やセキュリティアップデートを委託している医療機関(クラウドサービスの利用を含む)では、「保守委託機関編」への準拠によって、他編の一部要件も満たしているものとみなされる仕組みとなっています。
技術的な改定としては、パスワード管理に関して使い回しの禁止や、アカウントロック機能の導入が明記されました。一方で、セキュリティ向上への効果が限定的とされる「定期的なパスワード変更」の要件は削除されています。また、二要素認証の適用対象についても拡大・明確化が図られました。これらについては、2027年4月1日時点で対応が困難な医療機関等に対し、次回システム改修時の対応を認める経過措置が設けられています。
思い起こせば、『医療情報システムの安全管理に関するガイドライン』の初版は2005年に策定されました。当時施行された個人情報保護法への医療分野での対応、e-文書法への対応方法、紙カルテの施設外保存だけでなく電子的な外部保存のルール整備など、多くの課題への対応策がこのガイドラインに集約されていました。現在では「要配慮個人情報」という整理がなされていますが、当時は医療情報の特殊性をふまえた運用ルールが求められていた時代でした。言い方は少々悪いかもしれませんが、このガイドラインは当時の様々な課題に対応するための政策的な受け皿でもあったのです。
それが近年では、診療報酬改定においても『医療情報システムの安全管理に関するガイドライン』への準拠が重要な要件として位置づけられています。さらに、AIの高度化に伴い、サイバーセキュリティ対策は単なる「加算対応」ではなく、医療機関の事業継続そのものに関わる重要課題となっています。医療DXを安全に進めるためにも、ガイドラインの理解と実践がこれまで以上に求められる時代になったと言えるでしょう。
上野智明(日本医師会ORCA管理機構株式会社取締役副社長)[医療DX][ガイドライン]