制度的な動向というのは、国家サイバー統括室（NOC）による改定重要インフラのサイバーセキュリティに係る安全基準等策定指針と厚生労働省が推進するクラウドネイティブ型電子カルテの推進に合わせる、そして、医療機関と事業者の責任分解等を盛り込んだ厚生労働省と経済産業省による2省ガイドラインに対応するということ。

参照：令和9年4月からの標準型電子カルテ／標準仕様に準拠した電子カルテリリースに向けたタイムラインが示される〜厚生労働省が認証する電子カルテ製品とは？〜

　技術・社会的な動向というのは、前回掲載されていたパスワードルール2、使い回しの禁止などを追記したり、令和9年4月までに対応が求められる二要素認証に関する対象範囲が明記されている。医療機器の二要素認証については世界的に必須化されていないこともあり、今回は改変は見送られている。今回の改訂では、クライアント端末及びサーバーで対応することと明記されている。

サイバーセキュリティ対策チェックリストの変更点

　今回から、医療機関確認用と薬局確認用が統合され、医療機関等確認用となった。先の医療情報システムの安全管理ガイドライン第7.0版に合わせて、チェックリストは以下の対応が図られている。

 医療機関確認用では、二要素認証の対応を明確に記載している。パスワード要件についても文字数なども求めている一方で、定期変更要件が削除されている。

　事業者確認用では、事業者もBCP策定を盛り込んでいること、事業者と医療機関の責任分解を明確するため、事業者ではなく医療機関側が責任を持つ「対象外」を拡充している。

　電子的診療情報連携体制整備加算（入院）や機能強化加算などでBCPの策定が求められている。自然災害・パンデミック・サイバー攻撃の対応の3つで対応方針を明確にしておくことを私はお願いしている。今回のチェックリストはサイバー攻撃の対応時のBCP策定で活かしていきたい。