令和7年7月25日、第25回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループが開催された。医療情報システムの安全管理に関するガイドラインの改定論点、病院におけるサイバーセキュリティ対策の現況調査の結果、マイナ救急(救急搬送患者のマイナ保険証を利用した医療機関での受入れ前の事前の情報連携)の実施等について議論されている。マイナ救急については実証事業も進められていることもあり、今回了承されている。


参照:救急業務を安定的に、持続的に提供しつづけるための「マイナ救急」「♯7119」「救急患者連携搬送料」「地域連携」


 医療情報システムの安全管理に関するガイドラインの改定論点と病院におけるサイバーセキュリティ対策の現況調査の結果について確認しよう。


ご案内:HCナレッジ合同会社による医療政策ニュース解説のコンテンツ



医療情報システムの安全管理に関するガイドライン第6.0版の改定の方向性が示される

 令和5年5月に改訂された現行の第6.0版は、外部サービスの利用に関する整理や非常時における対策、本人確認を要する場面での運用の検討等を新たに反映させたものだった。昨今、サイバーセキュリティ対策への社会的な意識の高まりや生成AIサービスや各種クラウドサービスも多く登場しており医療情報の取り扱いなど注意を要する場面も増えてきている。今後、標準型電子カルテが登場してくれば、APIによる外部サービスの利活用も広がってくることが考えられ、サイバーセキュリティ対策を施しながらクラウドサービスを安全に利活用して、業務効率化を実現していく必要がある。

 そこで今回、医療情報システムの安全管理に関するガイドラインの改定の方針が以下のように示された。




 技術的なことももちろん大事だが、利用する医療機関側の理解と対応が何よりも重要だ。医療情報とは、その中身は患者のものであって、モノとしての医療情報は医療機関が責任をもって管理するもの。お金で例えると、医療機関は運用をしない銀行のようなものだ。にもかかわらず、医療情報に対しては、いまだに「コスト」という見方になっていて「投資」になっていないケースが多い。患者のものを守り抜くことができなければ、信用は失墜するとともに、地域医療全体に影響を与える(情報ネットワークでの障害、診療中断による他の医療機関での診療対応増による負担など)。ただし、診療報酬における一定の支援も必要だ。医療機関の収入のほとんどは診療報酬だからだ。現行においては。


参照:医療情報システムの安全管理ガイドラインを使うための補助知識


参照:医療DXの推進を「コスト」ではなくリターンのある「投資」となるよう、診療報酬で評価を。



病院におけるサイバーセキュリティ対策の現状について

 令和7年1月27日(月)~令和7年3月7日(金)の期間で「病院における医療情報システムのサイバーセキュリティ対策に係る調査」が実施(調査対象は、G-MIS IDが付与されている、8,117の病院)されている。有効回答数は5,842(72.0%)施設(昨年度:65.5%)。主なポイントを確認してみる。


・情報セキュリティを担当する責任者(CISO)の配置は73%




 CISOで医療情報に関する何らかの資格(IPAによるITパスポートや基本情報技術者など)を 有するのは役15%との結果だった。基本的には病床数が大きい人材が潤沢といえる病院ほどCISOの配置など割合が高い。資格の取得については、病院としても支援が必要だろう。また、情報セキュリティ担当者以外のスタッフには、ITパスポートの資格取得までは求めないまでも、情報セキュリティに関する項目などは院内で学ぶ機会を持ってほしいと思う。


参照:情報セキュリティを巡る制度の整理① ~個人情報保護法の改正~



参照:情報セキュリティを巡る制度の整理② ~セキュリティに関する法制度~ 



参照:情報セキュリティを巡る制度の整理③ ~不正競争防止法、営業秘密管理~



・インシデント発生時の対策チーム(組織内CSIRT)は42%の病院で配置




 重大事故に至らないようにするためにも、医療安全の取組と同等に実施していくことが必要だ。院内情報の持ち出しルールの徹底・台帳作成と頻回な持ち出しのあるスタッフに確認をとる、個人のパソコンの持ち込みやポケットWIFIの利用なども注意したい。病院のICT資産の棚卸をしたことがあるが、約2カ月を要した。その時感じたのは、人以上にパソコン等のICT資産は動き回り、減ったり増えたりするということだ。


・サイバーセキュリティ対策チェックリストの項目への対応状況

 ~「医療情報セキュリティ開示書(MDS/SDS)を提出してもらう」→やや増加の傾向~





 ~BCPの策定 → 大きく増加している傾向~



 ところで、BCPの訓練については微増にとどまっていることも確認できている。BCPの訓練と防災訓練は異なることは注意したい。

 




 ~USBメモリ等の外部接続媒体を運用管理規程やシステムで制限している病院→83%~




 先にもご紹介したように、情報の持ち出しに関する台帳管理なども合わせて対応しておく必要がある。


 ~二要素認証を導入している病院の割合 → 11%~



 令和9年度以降対応が求められるため、システムのリプレイスのタイミングを確認しながらできるだけ早期に対応をしておきたい。事故はいつ起きるかわからない。


 ~サーバ、端末」、ネットワーク機器の管理・セキュリティ対策対応~

  サーバ、端末PC、ネットワーク機器の台帳管理を行っている病院の割合は、90%~

  ※100床未満の病院では台帳管理を実施できている病院の割合が83%と低い

  ネットワーク機器に対して定期的にセキュリティパッチを適応している病院の割合は、74%

  サーバ、端末PCに対して、定期的にセキュリティパッチを適応している病院の割合、61%

  ※病床数が多い病院ほど低い傾向


・電子カルテシステムを使用している病院のうち、バックアップデータを作成している割合は97%




 ※電子カルテシステムのバックアップデータを作成している病院のうち、バックアップデータを3世代以上保管している割合は65%

 ※電子カルテシステムのバックアップデータを作成している病院のうち、オフラインでバックアップデータを保管している割合は、64%


 医療技術の進歩と同様に、医療情報に関する技術・サービス、サイバー攻撃も進歩し続ける。厚生労働省等の動向は必要最低限押さえておくべき情報としつつ、一般社会におけるICTテクノロジーの動向などは自ら収集するように習慣化しておきたい。