【医療業界動向コラム】第96回 BCP策定のための確認表と手引きが公表される

厚生労働省より「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表」と「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表のための手引き 」が公表された。

以前、本コラムの第92回「令和6年度版サイバーセキュリティ対策チェックリストが公表される。バックアップの取得に関する考え方を確認」でお伝えした「令和６年度版「医療機関におけるサイバーセキュリティ対策チェックリスト」とそのマニュアルを公表」の中で、BCPについては作成の手引きは別途厚生労働省より案内がある、と解説したものだ。

なお、厚生労働省のホームページにある「医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）」のページには医療情報システム部門等のBCPの雛形や薬局におけるサイバーセキュリティ対策チェックリスト等も掲載・公表されているので確認をお願いしたい。

医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）

※上記ページの「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表等」に手引きや確認表が掲載されています。

内容としては、「平時」「検知」「初動対応」「復旧処理」「事後対応」の５つのカテゴリーで構成されている。

一昨年前に公表された「短期的な医療機関におけるサイバーセキュリティ対策」を５つに細分化したような内容となっている。予防できることは予防をし、異常事態の早期発見と連絡体制・指示命令系統を明確にし、被害拡大を防ぎ、早期の復旧と再発防止策をスピーディーに立案・実施する、というサイクルだ。
公表されているBCP策定の確認表を活用した定期的なチェックが重要だ。

BCP策定においては、日常と非日常における医療情報システム・サービス提供事業者との連携が重要だ。医療情報システムの安全管理に関するガイドライン　第6.0版では「責任分界」という言葉が多く用いられているが、医療機関と事業者とで医療情報システムの実装や運用に関する責任の分担（責任分界）を決める必要があると明記されている。

具体的には、通常時における責任を果たすための責任分界と、非常時における責任を果たすための責任分界の二つを想定している。

通常時における責任

・説明責任 ・管理責任 ・定期的な見直し、必要に応じて改善を行う責任

非常時における責任

・情報セキュリティインシデントの原因・対策等に関する説明責任 ・前後策を講ずる責任

サイバーセキュリティ対策は、予防と同時に発生後の対応と早期復旧・診療等の継続が大事だ。そのためにも、被害にあった場合のスピーディーな報告・連絡・相談などの緊急時の体制や、医療情報システムが使えなくなった場合でも診療等を継続できるための代替手段の確認などを職員教育・訓練に取り入れておきたい。

オンライン資格確認や地域医療情報ネットワークなど、医療機関・介護事業者・医療情報サービス提供事業者など関係なくつながる時代になっている。サイバーセキュリティの問題は、つながる時代においては、医療機関等の事業者個別の問題ではなく、つながるすべての事業者の問題といえる。どれだけ対策を尽くしても、うまくいかないこともある。常に最悪の事態を意識した対応策と地域住民に対する損害を最小限にとどめることを意識することが必要だ。