【医療業界動向コラム】第96回 BCP策定のための確認表と手引きが公表される

2024.06.25

厚生労働省より「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表」と「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き 」が公表された。

以前、本コラムの第92回「令和6年度版サイバーセキュリティ対策チェックリストが公表される。バックアップの取得に関する考え方を確認」でお伝えした「令和6年度版「医療機関におけるサイバーセキュリティ対策チェックリスト」とそのマニュアルを公表」の中で、BCPについては作成の手引きは別途厚生労働省より案内がある、と解説したものだ。

なお、厚生労働省のホームページにある「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」のページには医療情報システム部門等のBCPの雛形や薬局におけるサイバーセキュリティ対策チェックリスト等も掲載・公表されているので確認をお願いしたい。

医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)

※上記ページの「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表等」に手引きや確認表が掲載されています。

内容としては、「平時」「検知」「初動対応」「復旧処理」「事後対応」の5つのカテゴリーで構成されている。

図1_BCP策定のための確認表①(※画像クリックで拡大表示)
図2_BCP策定のための確認表②(※画像クリックで拡大表示)

一昨年前に公表された「短期的な医療機関におけるサイバーセキュリティ対策」を5つに細分化したような内容となっている。予防できることは予防をし、異常事態の早期発見と連絡体制・指示命令系統を明確にし、被害拡大を防ぎ、早期の復旧と再発防止策をスピーディーに立案・実施する、というサイクルだ。
公表されているBCP策定の確認表を活用した定期的なチェックが重要だ。

BCP策定においては、日常と非日常における医療情報システム・サービス提供事業者との連携が重要だ。医療情報システムの安全管理に関するガイドライン 第6.0版では「責任分界」という言葉が多く用いられているが、医療機関と事業者とで医療情報システムの実装や運用に関する責任の分担(責任分界)を決める必要があると明記されている。

具体的には、通常時における責任を果たすための責任分界と、非常時における責任を果たすための責任分界の二つを想定している。

通常時における責任

・説明責任 ・管理責任 ・定期的な見直し、必要に応じて改善を行う責任

非常時における責任

・情報セキュリティインシデントの原因・対策等に関する説明責任 ・前後策を講ずる責任

サイバーセキュリティ対策は、予防と同時に発生後の対応と早期復旧・診療等の継続が大事だ。そのためにも、被害にあった場合のスピーディーな報告・連絡・相談などの緊急時の体制や、医療情報システムが使えなくなった場合でも診療等を継続できるための代替手段の確認などを職員教育・訓練に取り入れておきたい。

オンライン資格確認や地域医療情報ネットワークなど、医療機関・介護事業者・医療情報サービス提供事業者など関係なくつながる時代になっている。サイバーセキュリティの問題は、つながる時代においては、医療機関等の事業者個別の問題ではなく、つながるすべての事業者の問題といえる。どれだけ対策を尽くしても、うまくいかないこともある。常に最悪の事態を意識した対応策と地域住民に対する損害を最小限にとどめることを意識することが必要だ。

山口 聡 氏

HCナレッジ合同会社 代表社員

1997年3月に福岡大学法学部経営法学科を卒業後、出版社の勤務を経て、2008年7月より医業経営コンサルティング会社へ。 医業経営コンサルティング会社では医療政策情報の収集・分析業務の他、医療機関をはじめ、医療関連団体や医療周辺企業での医 療政策や病院経営に関する講演・研修を行う。 2021年10月、HCナレッジ合同会社を創業。

https://www.hckn.work

連載記事に関連するコラム

資料をダウンロード

製品・ソリューションの詳細がわかる総合パンフレットを無料でご覧いただけます

ダウンロードはこちら
検討に役立つ資料をダウンロード

製品・ソリューションの詳細がわかる総合パンフレットを無料でご覧いただけます

ダウンロードはこちら