令和6年6月6日、厚生労働省より「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表」と「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き 」が公表された。先日伝えた「令和6年度版「医療機関におけるサイバーセキュリティ対策チェックリスト」とそのマニュアルを公表」の中で、BCPについては作成の手引きは別途厚生労働省より案内がある、とあったもの。なお、厚生労働省内に「医療情報システムの安全管理に関するガイドライン 第6.0版」のページには医療情報システム部門等のBCPの雛形や薬局におけるサイバーセキュリティ対策チェックリスト等も掲載され、公表されている。
参考:
医療機関におけるサイバーセキュリティ対策の基本方針が公表される
内容としては、「平時」「検知」「初動対応」「復旧処理」「事後対応」の5つのカテゴリーで構成されている。一昨年前に公表された「短期的な医療機関におけるサイバーセキュリティ対策(参照:医療機関におけるサイバーセキュリティ対策の基本方針が公表される)」の3カテゴリー(予防対応・初動対応・復旧対応)を5つに細分化したような内容となっている。予防できることは予防をし、異常事態の早期発見と連絡体制・指示命令系統を明確にし、被害拡大を防ぎ、早期の復旧と再発防止策をスピーディーに立案す・実施する、というサイクルだ。BCP策定の確認表も併せて公表されているので、定期的なチェックが重要だ。
医療情報システム・サービス提供事業者との連携と「責任分界」について改めて確認をしておくことも重要だ。
オンライン資格確認や地域医療情報ネットワークなど、医療機関・介護事業者・医療情報サービス提供事業者など関係なくつながる時代になっている。サイバーセキュリティの問題は、つながる時代においては、事業者個別の問題ではなく、つながるすべての事業者の問題といえる。どれだけ対策を尽くしても、うまくいかないこともある。常に最悪の事態を意識した対応策と地域住民に対する損害を最小限にとどめることを意識することが必要だ。
