こんにちわ。
施設基準管理士、カジハヤトです。
先日、私の勤務する医療機関でも病院立入検査(医療法)があり、その場に立ち会いました。
その中で強く感じたのが、
サイバーセキュリティ対策のチェックは、年々確実に厳しくなっている
ということ。
ぶっちゃけ、サイバー攻撃にあったら診療止まっちゃいますからね。
特に電子カルテの場合・・・そりゃ大事だわ。
今回は、実体験をもとに
- 立入検査でどこを見られるのか
について書いてみたいと思います。
この記事は、立入検査におけるサイバーセキュリティー対策に興味のある方にオススメの記事です。
目次
 |
|
医療法|病院立入検査におけるサイバーセキュリティ対策を解説!!
立入検査で確認される「サイバーセキュリティ対策」
医療法に基づく立入検査では、近年、
- 医療情報の安全管理
- 医療DXの進展
- ランサムウェア被害の多発
といった背景から、サイバーセキュリティ対策が重要な確認項目になっています。
その際に使われるのが、医療機関におけるサイバーセキュリティ対策チェックリスト(令和7年度版)です
※医療機関等におけるサイバーセキュリティ対策チェックリストマニュアルはこちら
立入検査では、このチェックリストをもとに、
- ○が付いているか
- 実際に運用されているか
を確認されます。
チェックリストは「提出用」ではなく「確認用」
実際に立ち会って感じたのは、
チェックリストを作って終わり、ではない
ということです。
令和5年・6年頃までは、
-
チェックリストがある
-
一通り記入されている
ことで、比較的スムーズに進んでいた印象があります。
しかし今回は、
-
なぜ「はい」なのか
-
実際の体制や手順はどうなっているのか
といった点まで踏み込んで確認されました。
年々、厳しくなってます!!
特に確認されたポイント①:体制の整備
まず確認されたのが、体制面です。
チェックリストの最初にあるのが、
- 医療情報システム安全管理責任者の設置
という項目です。
これがないとはじまりません。
連絡体制図より医療情報システム安全管理責任者を指し示し、
説明しました。
連絡体制図を作成し、その中で医療情報システム安全管理責任者を選定している必要があります。
私の勤務する医療機関では訓練も実施しています。
医療情報システム安全管理責任者が指揮して訓練している様子、写真を掲示しました。
特に確認されたポイント②:日常の管理・運用
次に見られたのが、システムの管理・運用です。
たとえば、
- サーバ・端末・ネットワーク機器の台帳管理
- セキュリティパッチの適用
- 不要なソフトやサービスの停止
- パスワード管理・使い回しの禁止
- USB等の外部記録媒体の制限
といった、日常的な運用ができているかが確認されました。
これらもチェックリストの内容です。
マニュアルを確認しながらそれぞれ根拠となる書類を準備しておくとスムーズです。
書類上は「はい」でも、
「実際どうしていますか?」と聞かれると、説明できないと厳しいと感じました。
今回特に重視されたポイント③:サイバー攻撃時の連絡体制
チェックリストには、
- インシデント発生時の組織内連絡体制
- 外部関係機関(保守事業者、厚労省、警察等)への連絡体制図
を整備しているか、という項目があります。
これらを、マニュアルに明記しておく必要があります。
サイバー攻撃など、事件性のある場合は警察への連絡も必要です。
まとめ
正直な感想として、
- 令和5年・6年はチェックリストがあれば、ある程度は通った
という印象があります。
しかし現在は、
- 書類があるだけでは不十分
- 中身を理解し、説明できること
- 実際に動かせる体制があること
が求められていると強く感じました。
医療法に基づく病院立入検査において、サイバーセキュリティ対策は確実に重要度を増しています。
今回の立入検査を通じて、
「サイバー対策はIT担当者だけの話ではない」
と改めて感じました。
事務、看護、医師を含めた組織全体の課題として、今後も向き合っていく必要がある分野だと思います。
今回はここまでです。
最後までお読みいただき誠にありがとうございました。
 |
|
