厚生労働省が「医療情報システムの安全管理に関するガイドライン 第6.0版」を正式決定し、公表した。一昨年来、日本の医療機関でもランサムウエアを中心としたサイバー攻撃で、地域の中核病院が長期間の休診や診療制限を余儀なくされる事例が相次いでおり、技術進展に対応する内容の更新もあわせ、セイバーセキュリティに関するより具体的な実施事項をまとめたものとなっている。 サイバーセキュリティに関する記述を大幅増補 今回公開された新版について、厚生労働省では以下のポイントで内容の改定を行ったと説明している。 1.全体構成の見直し 本文を、概説編、経営管理編、企画管理編及びシステム運用編に分け、各編で想定する読者に求められる遵守事項及びその考え方を示すとともに、Q&A等において現状で選択可能な具体的な技術にも言及するなど、構成の見直しを行う。 2.外部委託、外部サービスの利用に関する整理 クラウドサービスの特徴を踏まえたリスクや対策の考え方を整理するとともに、医療機関等のシステム類型別に責任分界の考え方等を整理する。 3.情報セキュリティに関する考え方の整理 ネットワークの安全性の考え方や認証のあり方を踏まえて、ゼロトラスト思考に則した対策の考え方を示すほか、サイバー攻撃を含む非常時に対する具体的な対応について整理する。 4.新技術、制度・規格の変更への対応 オンライン資格確認の導入に必要なネットワーク機器等の安全管理措置等について整理する。 特にサイバーセキュリティに関しては4つの論点を図解で解説し、運用管理を外部事業者に任せる場合の責任分界点の設定や、閉域網に依拠し過ぎずに他の対策を講じる必要性、ケースを複数想定したバックアップの多様化、今年からの義務化を踏まえたオンライン資格確認システム対応について実装を求めるなど詳細な記載となっている。 また全体構成は、経営者、部門管理者、担当者それぞれに向けた内容に改変し、障害そのものへの対応と外部対応など、医療機関内の関係者におけるあるべき責任分界点にあわせた構成に改変した。 近年障害事案が増え、かつ被害の深刻度が増していることから、従来版より行うべきことの明確化が行われた印象だが、これらを実施するにはそれなりの費用が恒常的に当然発生する。また小規模医療機関については外部委託だけでなく担当者すら置けないケースも多い。今回のガイドラインで示された内容を確実に行えるための財政的手当てについて、早い段階で具体的な検討を始めることが求められる。 外部リンク: 医療情報システムの安全管理に関するガイドライン 第6.0版 概説編|経営管理編|企画管理編|システム運用編|Q&A