厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」経営管理編は、通常時から医療情報システムに関係する脆弱性対策、重要なアップデート(更新)、EOS(販売終了・サポート終了・サービス終了)に関する情報を収集し、速やかに対策を講じることができる体制を整えるよう、企画管理者やシステム運用担当者に指示することを経営層に求めています。さらに、非常時の情報共有や支援について、システム関連事業者や外部有識者との取決めも事前に整えるべきだとしています。つまり、更新管理は「情シスの作業」ではなく、経営が体制として持つべき機能です。

同ガイドラインのシステム運用編は、企画管理者は医療情報システムが利用する情報機器等の脆弱性情報を常に収集し、速やかに対応する必要があるとし、対象にはPC、サーバ、ネットワーク機器だけでなく、ファームウェアや医療機器に付属するシステム・機器も含まれると整理しています。また、近年は脆弱性やEOS対象機器を狙った外部攻撃が多く、ランサムウェアでも必要な脆弱性対策の見逃しが原因となるケースがあると説明しています。情報源としては、OSや対策ソフトの提供事業者に加え、NISCやIPAが定期的に公表する重要なセキュリティ情報を確認し、必要に応じて製品・サービス提供事業者へ確認することが重要だとしています。

この「情報量の多さ」は、公式統計でも見えます。IPAによると、JVN iPedia日本語版の脆弱性対策情報登録件数は2025年第4四半期末時点で累計265,431件で、同四半期だけでも11,664件登録されました。さらに、IPAの脆弱性関連情報の届出累計は19,859件に達しています。これだけ件数が多い以上、更新判断を担当者の記憶やメール転送任せにする運用は現実的ではありません。

では、誰が何を持つべきでしょうか。公的資料を実務に落とすと、まず経営層は体制整備を指示する責任企画管理者は情報収集と全体管理の責任システム運用担当者は対象確認・影響確認・実施判断の実務責任事業者は互換性や実施可否の確認責任を持つ形が分かりやすいです。これはガイドライン本文にそのまま図式化されているわけではありませんが、経営管理編の指示事項とシステム運用編の役割記述をつなぐと、この分担が最も実務に落とし込みやすい整理です。

ここで最初の起点になるのが資産台帳です。チェックリストマニュアルは、サーバ、端末PC、ネットワーク機器の台帳管理を求め、台帳には所在、利用者、ソフトウェアやサービスのバージョンを含める想定だとしています。さらに、リモートメンテナンスを利用している機器の有無を事業者に確認することMDS/SDS(医療情報セキュリティ開示書)を回収することも求めています。更新判断は、脆弱性情報を見た瞬間に始まるのではなく、その情報が自院のどの機器・どのバージョン・どの契約に関係するのかを台帳で引ける状態から始まります。

このテーマで実務上いちばん重要なのは、「いつ更新判断するか」です。少なくとも今回確認した厚労省の公的資料は、一律の時間数や日数を前面に出すよりも、通常時から情報を収集し、速やかに対策を講じられる体制を整えることを重視しています。したがって、更新判断の実務上の起点は、脆弱性情報の公開日そのものより、自院資産との該当関係が確認できた時点に置くのが自然です。これは制度文言をそのまま引用したものではなく、公的資料を運用へ落とした実務上の整理です。

更新判断の流れは、少なくとも次の順で考えるのが実務的です

1. まず、該当機器を台帳で特定する。
脆弱性情報やEOS情報を見たら、台帳で対象製品名、バージョン、設置場所、利用部門、保守契約の有無を確認します。台帳にバージョンが入っていなければ、更新判断はそこで止まります。

2. 次に、事業者へ実施可否と業務影響を確認する。
システム運用編は、脆弱性対策が他のソフトウェアの動作等に影響することも想定されるため、事前に事業者へ実施可否を確認するよう求めています。医療機器や検査装置に付属するシステムも同様です。

3. 実施可能なら、速やかに適用する。
チェックリストマニュアルは、最新ファームウェアや更新プログラムの適用を求め、脆弱性が報告されているソフトウェアにはセキュリティパッチを適用することを挙げています。

4. 実施が難しいなら、未対応のまま放置せず、代替策を決める。
システム運用編は、対応が難しい場合には、当該リスクへの対策や管理方法を協議した上で代替策を講じる必要があるとしています。また、脆弱性対策としては、未使用サービスやポートの停止、ネットワーク分割、アクセス制御、マクロ停止、ファイル無害化、EDRや振る舞い検知などが例示されています。

5. EOSなら、代替策だけで終わらせず、更改計画へ接続する。
厚労省は、EOS対象機器が攻撃対象となり得ることを明示しています。また、チェックリストマニュアルは、新規導入や更新時には保守契約の見直しや運用管理規程の変更により、セキュリティパッチを定期的に適用できる安全管理体制を構築することが重要だとしています。EOS管理は、運用問題であると同時に調達・更新計画の問題です。

特に見落とされやすいのが、古いOSや動作確認できない機器です。チェックリストマニュアルは、古いOSを使っているなどの理由でパッチが適用されていない場合があり、こうした機器がサイバー攻撃の対象になることがあると補足しています。したがって、「当てられないから例外扱い」ではなく、当てられない理由、代替策、更新時期、責任者を明文化して管理しなければなりません。

このテーマで読者に一番伝えたい結論は、脆弱性管理は情報を知ることではなく、自院資産に結びつけて、更新・代替策・更改を決めることだという点です。厚労省のガイドラインは、通常時から脆弱性・重要アップデート・EOS情報を集め、速やかに対策できる体制を経営層が整えることを求めています。システム運用編とチェックリストマニュアルを合わせて読むと、必要なのは台帳、情報収集、ベンダー確認、代替策、契約見直し、更改計画までつながった運用です。