厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」の経営管理編は、主に組織の経営方針を策定し、意思決定を担う経営層を想定読者とし、経営層として遵守または判断すべき事項、さらに担当部署・担当者に対して指示および管理すべき事項を示しています。加えて、医療機関等の経営層には、本編を理解した上で必要な措置を講じることが求められると明記されています。つまり、医療機関のサイバーセキュリティは、情シス部門だけの話ではなく、最初から経営判断の領域として位置付けられています。
その理由は明確です。同編は、情報セキュリティインシデントが起きた場合、医療の提供停止による患者の生命・身体への影響だけでなく、経営責任・法的責任が問われる可能性があり、行政処分や民事上の賠償責任、初動対応や復旧に伴う多大な費用負担など、医療機関の経営や運営に大きな影響を及ぼし得ると整理しています。そのうえで、安全管理対策は「コスト」ではなく、**質の高い医療の提供に不可欠な「投資」**として、予算や人材の確保に努めることが重要だとしています。
また、厚労省ガイドラインは、近年の脅威増大を踏まえ、医療法施行規則では病院・診療所・助産所の管理者に、薬機法施行規則では薬局の管理者に、サイバーセキュリティの確保に必要な措置を講じることが求められていると説明しています。したがって、経営層が「専門部署に任せているから十分」と考える整理は、公的資料の読み方としては弱いです。
では、経営層はどこまで理解し、何を判断すべきなのでしょうか。実務上は、少なくとも次の6つです。
1. どこに予算と人材を張るか
最初の意思決定は、技術の細部ではなく、資源配分です。厚労省は、安全管理対策を投資と捉え、その実施に必要な予算・人材等の確保が重要だとしています。経営層が決めるべきなのは、バックアップ、監査、訓練、外部支援、保守契約、脆弱性対応体制など、どこに先に資源を入れるかです。技術選定を現場へ委ねることはできても、投資判断そのものは経営層の仕事です。これは厚労省の位置付けを実務に落とした整理です。
2. 平時の報告ラインと監査をどう回すか
通常時の責任として、厚労省は、文書化された管理体制の整備、患者等への説明窓口の整備、必要な組織体制の整備、定期的な報告を受けて状況確認すること、組織内監査の実施、さらに計画策定・定期見直し・改善指示を挙げています。つまり、経営層に求められているのは「任せること」ではなく、報告を受ける仕組みを持ち、監査と改善を回すことです。月次や四半期で何を報告させるか、誰が監査し、誰が改善を指示するかが曖昧なままでは、ガイドラインが想定する統制に届きにくいと言えます。
3. BCPで「何を続け、何を止めるか」を決める
経営層の判断が最も色濃く出るのがBCPです。厚労省は、非常時における業務継続の可否の判断基準、継続する業務内容の選定等に係る意思決定プロセスを検討し、BCP等を整備することを求めています。さらに、復旧手順の検討や自己点検を担当者へ指示し、定期的な訓練・演習を実施し、その結果を踏まえて改善指示を出すことも経営層の役割です。要するに、BCPは現場向けマニュアルではなく、経営判断を事前に言語化した文書です。
4. 兆候が出たとき、使用中止と代替運用を判断する
厚労省のBCP手引きでは、サイバー攻撃の兆候等がある場合、経営層に報告し、対象となる医療情報システム等の使用中止を指示するとされています。さらに経営層は、対応チームの設置、使用中止に伴う診療体制等の方針、必要な組織内周知、そして紙カルテ運用や参照系環境構築などの代替業務運用をあらかじめ定めておくことが想定されています。経営判断が必要なのは、復旧が見えてからではなく、止める瞬間です。ここを現場任せにすると、被害拡大防止と診療継続の両方が遅れやすくなります。
5. 説明・報告・公表をどこまで行うかを決める
非常時の責任として、厚労省は、患者の生命・身体への影響を考慮しつつ可能な限り医療継続を図るとともに、原因や対策等について患者、関係機関等に説明する体制を速やかに構築することを求めています。さらに、非常時の説明責任には、事態の発生の公表、原因・影響・対応方針等の説明、所管官庁への報告が含まれるとしています。BCP手引きでも、被害状況に基づく経営層による対応方針確認、所管省庁への報告、法的措置の確認、情報公開の必要性の検討が示されています。説明・報告・公表は広報部門だけの判断ではなく、経営判断そのものです。
6. 復旧の順番と再発防止をどこまで追うかを決める
BCP手引きでは、復旧計画、復旧時間、費用等を踏まえて経営層が復旧計画を指示し、事前に設定した復旧優先度に基づいて復旧を進めるとしています。また、復旧結果、情報漏えいの有無、原因、工数・費用等の報告を受け、経営層や対策チームが再発防止策を検討・策定し、必要に応じて情報公開の必要性と内容を意思決定するとされています。経営層の役割は「復旧できたか」の確認だけではなく、何を先に戻し、何を最後まで検証し、どの改善を次年度の計画へ反映するかを決めるところまで含まれます。
ここまでを見ると、経営層には高度な技術知識が必要だと思われがちです。しかし、厚労省の医療機関向けセキュリティ教育支援ポータルで提供されている経営者向け研修は、「経営とレジリエンス」、「ITガバナンス」、「IT-BCP組織体制」の3コースで構成され、受講対象は医療機関等の経営に携わる方とされています。しかもITガバナンスコースでは、経営者は自組織の情報セキュリティをどこまで理解すべきかを扱うと案内されています。これは、制度側が経営層に求めているものが、技術者並みの実装能力ではなく、レジリエンス、ガバナンス、BCP発動時の組織体制を理解したうえで適切に判断する力だと読める材料です。これは公的案内に基づく実務上の評価です。
したがって、このテーマでの答えはシンプルです。経営層は、技術を全部理解する必要はないが、判断に必要な論点は理解しなければならないということです。具体的には、投資、報告体制、BCP、使用中止、説明・公表、復旧優先度の6つです。ここを理解していないと、現場から正しい報告を受けても、適切なタイミングで決められません。逆に、ここが整理されていれば、技術の詳細は担当部署や事業者と連携して詰めることができます。これは厚労省の経営管理編とBCP手引きを踏まえた専門家の見解です。
