医療・介護

医療DXとセキュリティ義務化:2027年までに準備すべきこと

「うちの病院は大丈夫だろうか」――近年、医療機関を狙ったサイバー攻撃が急増し、電子カルテの停止や患者データの流出が全国で報告されています。こうした状況を受け、厚生労働省は医療機関のサイバーセキュリティ対策を段階的に義務化する方針を打ち出しました。

本記事では、2027年までに医療機関が準備すべきセキュリティ対策の全体像と、具体的なステップを分かりやすく解説します。

なぜ今、医療機関のセキュリティ義務化が進むのか

相次ぐサイバー攻撃被害

2021年以降、国内の医療機関へのランサムウェア攻撃は年々増加しています。ある地方の総合病院では、電子カルテシステムがランサムウェアに感染し、約2ヶ月間にわたって紙カルテでの運用を余儀なくされました。復旧費用は数億円規模に上り、その間の診療報酬の減少も含めると被害総額は甚大なものになりました。

厚労省「医療情報システムの安全管理に関するガイドライン」の改定

厚生労働省は「医療情報システムの安全管理に関するガイドライン」を継続的に改定し、サイバーセキュリティ対策の要件を強化しています。特に注目すべきは以下の点です。

診療報酬との連動

2024年度の診療報酬改定では、サイバーセキュリティ対策の実施が施設基準の一部に組み込まれました。今後、対策が不十分な医療機関は加算の算定に影響を受ける可能性があります。

2027年までに対応すべき5つの要件

1. セキュリティ管理体制の整備

まず必要なのは、院内にセキュリティ管理体制を構築することです。具体的には以下の対応が求められます。

「うちは小さなクリニックだから関係ない」と思われるかもしれませんが、規模に関係なく電子カルテや医事会計システムを使っている限り、対応は必須です。

2. ネットワークセキュリティの強化

VPN装置やファイアウォールの脆弱性を突いた攻撃が急増しています。以下の対策を優先的に実施しましょう。

3. バックアップ体制の構築

ランサムウェア対策として最も重要なのがバックアップです。「3-2-1ルール」に基づく体制を構築しましょう。

さらに重要なのは、定期的にバックアップからの復元テストを実施し、実際に復旧できることを確認しておくことです。

4. スタッフ教育の実施

セキュリティインシデントの多くは人的ミスから発生します。全スタッフを対象とした年1回以上のセキュリティ研修を実施し、以下のポイントを徹底しましょう。

5. インシデント対応計画(BCP)の策定

サイバー攻撃を受けた場合でも診療を継続するための事業継続計画(BCP)を策定しておく必要があります。紙カルテへの切り替え手順、外部への連絡先リスト、復旧手順など、具体的なアクションプランを文書化しておきましょう。

費用の目安と活用できる補助金

セキュリティ対策にかかる費用

医療機関の規模によって必要な費用は異なりますが、一般的な目安は以下の通りです。

  • クリニック(19床以下):50万〜200万円
  • 中小病院(20〜199床):200万〜800万円
  • 大規模病院(200床以上):800万〜3,000万円以上

一見大きな金額に見えますが、ランサムウェア被害の平均復旧費用が数千万円〜数億円であることを考えると、事前投資は十分に合理的です。

活用できる補助金・助成制度

セキュリティ対策に活用できる代表的な補助金があります。

これらの補助金は申請期間が限られているため、早めの情報収集と準備が重要です。

準備を始めるための3ステップ

ステップ1:現状把握(1〜2ヶ月)

まずは自院のセキュリティ状況を正確に把握しましょう。厚労省が提供するチェックリストを活用するか、外部の専門家による診断を受けることをお勧めします。

ステップ2:計画策定(1〜2ヶ月)

現状把握の結果をもとに、優先順位をつけた対策計画を策定します。すべてを一度に実施する必要はありません。リスクの高い項目から順番に対応していくことが現実的です。

ステップ3:段階的実施(3〜12ヶ月)

計画に基づき、段階的に対策を実施していきます。外部の専門パートナーを活用することで、院内のITリソースが限られていても着実に進めることができます。

まとめ

医療機関のサイバーセキュリティ対策は、もはや「やったほうがいい」ではなく「やらなければならない」段階に入っています。しかし、専門的な知識が必要な分野だからこそ、一人で抱え込む必要はありません。

DEALCAでは、医療・介護施設の現場を理解した上で、無理のないセキュリティ対策計画をご一緒に策定しています。まずは現状の課題を整理するところから、お気軽にご相談ください。