医療機関のサイバーセキュリティ対策では、技術導入や規程整備だけでなく、教育・訓練そのものが管理責任の一部として位置付けられています。厚労省の令和7年度版チェックリストマニュアルでは、医療情報システム安全管理責任者の職務として、情報セキュリティ方針の策定に加え、教育・訓練を含む情報セキュリティ対策を推進することが示されています。つまり、教育は「余裕があればやる施策」ではなく、体制構築の中核です。
さらに、厚労省のBCP手引きは、策定したBCPが迅速かつ適切に利用できるよう、教育訓練を定期的に実施すること、システム停止を想定して障害時マニュアルや伝票運用マニュアルを準備すること、そして教育訓練の結果に応じて改善計画を作成することを求めています。加えて、チェックリストマニュアルは、少なくとも年1回はチェックリストを用いた点検を実施することも明記しています。したがって、医療機関に必要なのは「一度研修を受けた」という状態ではなく、定期的に回し、見直しにつなげる教育運用です。
この前提に立つと、教育・訓練は一種類では足りません。厚労省の医療機関向けセキュリティ教育支援ポータルでは、経営者向け研修、システム・セキュリティ管理者向け研修、初学者等向け研修が用意され、別途e-learningでも複数の教育コンテンツが提供されています。実際、経営者向けではIT-BCPやITガバナンス、初学者向けではメール、パスワード、SNS、クラウド、アクセス管理などが扱われています。公的な研修体系自体が、役割別に学ぶべき内容が違うという前提で組まれています。
ここから実務的に整理すると、医療機関の教育・訓練は大きく全職員向け教育、机上演習、現場訓練の3層に分けて設計するのが分かりやすいです。これは厚労省資料の「定期的な教育訓練」「障害時マニュアル・伝票運用マニュアル」「紙カルテ運用や参照系環境」といった要求を、運用しやすい形へ整理したものです。
まず、全職員向け教育は、インシデント時に最初の異常を見つけ、正しい窓口へ報告できる状態を作るためのものです。BCP手引きでは、異常時の連絡体制図が全職員に把握されていること、連絡先を速やかに取得できること、院内で発生した異常を職員が覚知できることが確認項目として示されています。したがって、全職員教育の主眼は、専門技術ではなく、不審メール、パスワード管理、SNSやクラウド利用時の注意、異常発見時の報告先の徹底に置くべきです。厚労省ポータルの初学者等向け研修の内容とも整合します。
次に、机上演習は、管理者層と対応責任者が「何を、誰が、どの順番で判断するか」を確認する訓練です。IPAは2025年4月、一般企業向けと医療機関向けの2種類のセキュリティインシデント対応机上演習教材を公開し、ランサムウェア感染シナリオを使って、対応の一連の流れを学べるようにしました。教材は、座学パートと、受講者がグループで対応方針を検討する演習パートで構成されており、机上演習のたたき台として使えます。医療機関が机上演習で確認すべき論点は、厚労省のBCP手引きに照らすと、通信遮断、使用中止判断、経営層への報告、外部関係機関への連絡、フォレンジックと証拠保全、復旧優先度などです。
ここで重要なのは、机上演習の目的が「答え合わせ」ではないことです。IPAの教材は、インシデント対応の流れをディスカッションしながら検討する構成ですし、厚労省のBCP手引きも、教育訓練の結果に応じて改善計画を作成することを求めています。つまり、机上演習で価値があるのは、完璧に動くことより、判断の詰まり、責任分界の曖昧さ、連絡先不足、外部委託先との認識差を見つけることです。これは公的資料に基づく実務上の整理です。
一方、現場訓練は、机上で決めたことが本当に現場で回るかを確かめる訓練です。厚労省のBCP手引きは、対象システム停止時の代替運用として、紙カルテ運用、参照系環境構築、紙伝票の最新化、運用フローの作成・共有、サーバ・端末・プリンタ・印刷用紙・トナーの準備まで例示しています。したがって、現場訓練で確認すべきなのは、会議室での説明ではなく、実際に紙伝票へ切り替えられるか、参照用端末が立ち上がるか、連絡体制図どおりに人が動くか、障害時マニュアルを現場で使えるかです。
このため、机上演習と現場訓練は目的が違います。机上演習は判断と連携の訓練、現場訓練は運用と手順の訓練です。机上演習だけでは、紙運用の詰まりやプリンタ不足、連絡体制図の実効性、当直帯の引き継ぎなどは見えにくいです。逆に現場訓練だけでは、経営判断や外部報告、使用中止や復旧優先度の整理は深まりません。したがって、両者は代替関係ではなく、相互補完として設計するのが妥当です。これは厚労省の求める定期的な教育訓練と、IPAの机上演習教材の位置付けを踏まえた専門家の見解です。
では、どこまでやるべきか。確立された事実として言えるのは、厚労省が定期的な教育訓練と少なくとも年1回のチェックリスト点検を求めていることです。ここから実務上の最低ラインとしては、全職員向け教育を毎年、管理者層の机上演習を毎年、紙運用や参照系切替などの現場訓練を少なくともBCP見直し時または大きなシステム変更時に実施する運用が考えやすいです。ただし、この頻度は厚労省が一律に数値指定しているわけではなく、本稿の実務上の整理です。
また、教育・訓練は受講実績で終わらせてはいけません。厚労省のBCP手引きは、教育訓練の結果を踏まえて改善計画を作成することを示しており、チェックリストマニュアルは、点検結果を日頃の対策の実施に役立てることを求めています。したがって、研修後に残すべきものは受講証明書より、未解決事項の一覧、規程改定の要否、連絡体制図の更新、紙運用の不足物品、委託先との再確認事項です。ここまで回って初めて訓練が対策になります。
このテーマで一番伝えたい結論は、教育は「知るため」ではなく、「止まったときに動けるようにするため」に行うものだということです。厚労省は責任者の職務に教育・訓練を含め、BCP手引きでは定期訓練と改善を求め、IPAは医療機関向けの机上演習教材まで公開しています。いま必要なのは、「研修を受けたか」ではなく、役割別教育、机上演習、現場訓練を切り分けて回しているかです。
