【医療業界動向コラム】第132回 令和7年度版サイバーセキュリティチェックリスト（案）、新たに5つの項目を追加へ

令和7年3月13日、第24回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループが開催された。本年より開始している電子カルテ情報共有サービスのモデル事業について、愛知県の藤田医科大学病院を中心とした地域で稼働開始されたことが報告されている。また、サイバーセキュリティ対策についても議論があり、令和7年度サイバーセキュリティ対策チェックリスト（案）が示された。

全体像を確認。薬局版も同様の見直しが行われる予定

新たなサイバーセキュリティ対策チェックリスト案と令和6年度版との違いは赤文字で記載されている（図1）。

 

図1_令和7年度版サイバーセキュリティチェックリスト（案）（※画像クリックで拡大表示）

5つの項目が新設されているのが分かる。なお、令和6年度版では「セキュリティパッチを適用している」の下には「接続元制限を実施している」という項目があり、今回は資料の見せ方の関係で掲載しきれていないだけで残っている。今回の案では、追加・見直しはあるが、削除されるものは無いといえる。なお、薬局版についても、医療機関版と同様に見直される。薬局については、令和5年の薬機法改正でサイバーセキュリティヘの対応が必須となっており、連携強化加算・医療DX推進体制加算でもチェックリストの利用が必須となっている。

強固なパスワードの設定、外部ストレージの利用の制限、令和9年度以降に向けた二段階認証への対応が必要に

今回の修正点は、パスワードの使いまわしとUSBメモリ等の利用、二段階認証の導入がポイントになっている（図2）。

 

図2_チェックリストの見直しのポイント（※画像クリックで拡大表示）

まず、パスワードの使いまわしについて。今回の見直し案では、パスワードの桁数や文字種など駆使して強固なパスワードとすることなどを推奨している（図3）。

 

図3_強固なパスワードの設定、管理（※画像クリックで拡大表示）

パスワードを忘れないようにパソコンの周辺に付箋を貼ってパスワードを書いたりすることが多いだろうが、それは避けるようにしなければならない。メモ帳やスマホなどに記録しておくようにすると共に、できればパスワードの1文字だけでも伏せておくのをお勧めしたい。不便に感じるが、こうしたセキュリティ対策は自分自身を守るためでもある。

USBメモリなどの外部ストレージの利用についても、今回の案では制限を設けることを求めている（図4）。

 

図4_USBメモリ等の外部ストレージの利用について（※画像クリックで拡大表示）

ストレージ経由の感染もあるし、院内の情報を研究目的で持ち出して情報が流出するなどの事故も過去にある。厳格な運用ルールも求められるところ。サイバーセキュリティ事故は外部からのアタックばかりに目がいきがちだが、多くは内部から起きているものだ。情報の持ち出しを原因とするもの、院内で何らかの不満を抱えこんでストレス発散のように情報を意図的に流出するなど。院内の情報の持ち出し等については台帳を作り、定期的に状況を確認するようにしたい。例えば、頻繁に申請が多い人や同じ情報を頻繁に申請しているなど確認できれば、直接話をすることや一定の制限をかけることが必要になる。医療機関を守るだけではなく、その職員を守る（変な疑いをかけられないためや事故を未然に防ぐ）という観点から大事なことだ（図5）。

 

図5_医療情報の持ち出し手順について（※画像クリックで拡大表示）

二段階認証については、令和9年度までに実装予定あることとされている。もちろんだが、リスクを低減させるためにも早く実装した方がよい（図6）。

 

図6_二段階認証の導入について（※画像クリックで拡大表示）

令和9年度以降も使用するシステムについては、二段階認証の導入を速やかに。令和9年度までに更新するのであれば、その更新のタイミングで導入を、ということだ。

今回の見直しを受け、BCPの見直しも必要になると考えられるので今後について注視しておきたい。なお、BCPと一口に言っても、今回のサイバーセキュリティ事故発生時だけではなく、新興感染症発生時と災害発生時のBCPもある。どうしてもサイバーセキュリティ対策が注目を集めがちだが、新興感染症対策と災害対策の観点でのBCPについても意識して情報をアップデートしておくようにすると共に、スタッフへの周知を忘れないようにしたい。