厚生労働省の「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表」は、令和5年度から、医療法に基づく医療機関に対する立入検査の項目にサイバーセキュリティ対策を位置付けたと説明しています。さらに、令和7年5月版の「医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル」では、立入検査で**「医療機関確認用」または「薬局確認用」、「事業者確認用」の全項目について、確認日と回答等が記入されていることを確認する**としたうえで、2-①の台帳、3-①の連絡体制図、3-③のBCP、4の規程類は現物確認すると明記しています。つまり、これらの文書は「あると望ましい資料」ではなく、平時の管理と立入検査の双方で重視される文書です。
この整理から見える実務上のポイントは明快です。立入検査のために慌てて作る書類は、有事にも役に立ちにくいということです。厚労省の文書群は、台帳、連絡体制図、BCP、規程類をばらばらに要求しているのではなく、「何を守るか」「誰が動くか」「どう継続するか」「何をルール化するか」を一つの運用体系として求めています。6日目の記事では、この4点を順番に整理すると読者に伝わりやすくなります。
まず整えるべきは台帳です。チェックリストマニュアルは、サーバ、端末PC、ネットワーク機器の台帳管理を求め、台帳で管理する内容として所在、利用者、ソフトウェアやサービスのバージョンなどを挙げています。さらにBCP確認表の手引きは、院内のサーバや端末PCのOS、IPアドレス、使用用途、脆弱性対応状況、ウイルス対策ソフトの稼働状況の一覧を整備すること、そして院内設置のすべてのVPN装置、ファイアウォール、ルータの所在、IPアドレス、使用用途を一覧化することを示しています。加えて、外部接続点を含むネットワーク構成図と、IPアドレスやルーティングがわかる構成図の整備も求めています。
ここで重要なのは、台帳を「PC一覧表」で終わらせないことです。厚労省の手引きに沿えば、台帳は外部接続点まで含めた全体像を示す必要があります。つまり、電子カルテ端末やレセコンだけでなく、VPN、FW、ルータ、地域連携やオンライン資格確認の接続点まで把握して、どの機器を誰が管理しているのかを見える化しなければなりません。実務上は、資産台帳とネットワーク構成図をセットで更新する運用にしておくと、障害時や調査時に役立ちます。これは厚労省資料に基づく実務的整理です。
次に必要なのが連絡体制図です。チェックリストマニュアルは、インシデント発生時に備えて、組織内と外部関係機関(事業者、厚生労働省、警察等)の連絡体制図を作成することを求めています。そこには施設内の連絡先だけでなく、事業者、情報セキュリティ事業者、外部有識者、都道府県警察の担当部署、厚生労働省や所管省庁等が明示されていることが想定されています。また、厚生労働省の医療分野サイバーセキュリティの案内ページでも、医療機関等がサイバー攻撃やその疑い、医療情報システム障害を受けた場合は、インシデント発生後速やかに連絡するよう求めています。
したがって、連絡体制図は単なる電話帳では足りません。BCP確認表では、異常時の連絡体制図が全職員に把握されているか、連絡先を速やかに取得できるか、さらに院内職員から発出された被害情報が速やかにCSIRTや意思決定者まで到達するかを確認項目にしています。実務上は、誰が最初に気づき、誰に報告し、誰がシステム停止や外部報告を判断し、誰が証拠保全を指示するのかまで見える形にしておく必要があります。これはBCP確認表の構成から導かれる実務上の整理です。
3つ目はBCPです。厚生労働省は、ガイドライン第6.0版のページで、医療機関用のBCP策定確認表、手引き、ひな形を公開しています。確認表は、医療機関がBCPを策定する際に最低限必要な事項を網羅しているか確認するためのものとされ、手引きでは、確認表は最低限必要な事項を記したものであり、医療機関の特性に応じて必要事項を整理し定めること、BCP策定に先立ってリスク分析が重要であり、事業者や関係者とのリスクコミュニケーションが必要であること、BCPは定期的に見直し必要項目を更新することが示されています。
確認表の中身を見ると、BCPは単なる宣言文ではありません。平時の項目として、資産把握、構成図整備、事業継続影響の把握、脆弱性対応、連絡体制図、情報収集体制、教育訓練、バックアップと復旧手順が並びます。さらに、検知・初動対応・復旧・再発防止の各段階で、異常報告、原因調査、事業者への連絡と作業履歴確認、被害拡大防止、経営層による使用中止等の判断、フォレンジック調査と証拠保全、外部関係機関への報告、復旧指示、再設定やバックアップからの復元、再発防止策の策定と周知まで確認項目に入っています。BCP確認表と手引きに照らすと、BCPは「何かあった時に頑張る」という文書ではなく、インシデントの進行に沿って組織がどう動くかを書いた手順書であるべきです。
特に見落とされやすいのが、バックアップと代替運用です。チェックリストマニュアルは、データやシステムのバックアップを適切に確保し、復旧手順を整備・確認しておくことを求め、重要なファイルについては複数の方式で世代管理するよう設計し、3世代目以降のバックアップはオフラインにする等の対策が望ましいとしています。BCP手引きも、システムが利用できなくなるとどの業務が継続できなくなるかを想定し、代替運用の手順を作成し、障害時マニュアルや伝票運用マニュアルを準備することを示しています。つまり、BCPで問われるのは「バックアップしているか」だけでなく、止まった時に紙や代替手段で何を続けるかまでです。
4つ目が運用管理規程です。チェックリストマニュアルは、上記1~3のすべての項目について、具体的な実施方法を運用管理規程等に定めていることを求めています。例として、利用機器の管理方法、アクセス権限付与と操作ログの定期確認、異常発生時には別途定めるBCPに従って運用すること、職員への定期的な研修などを挙げ、立入検査時には規程類も確認対象になるとしています。したがって、規程は「理念」だけを書く文書ではなく、台帳更新、連絡、復旧、教育、ログ確認の具体的手順を文章化するための文書です。
厚生労働省が参考資料として掲載する「運用管理規程文例」も、その考え方を補強しています。この文例では、システム管理者が全体構成図やシステム責任者一覧を作成し、常に最新の状態を維持すること、さらに監査責任者を置き、毎年一定回数の監査を実施し、問題点があれば必要な措置を講じることなどが例示されています。実務上は、規程に「台帳を作る」と書くだけでなく、誰が更新するか、いつ見直すか、監査でどう確認するかまで落とし込むことが重要です。これは文例に基づく実務的整理です。
最後に、これら4点をどう回すかです。チェックリストマニュアルは、各項目について**「はい」または「いいえ」を記入し、「いいえ」の場合は令和7年度中の目標日を記入するよう求めています。さらに、医療機関確認用の全項目で「はい」がつくよう事業者と連携して取り組むこと、複数の医療情報システムを利用している場合は事業者ごとに確認すること、そして少なくとも年に1回はチェックリストを用いた点検を実施すること**を示しています。つまり、立入検査対策は一度作って終わるものではなく、未対応項目に期限を付け、ベンダーを巻き込み、年1回以上更新する管理サイクルとして運用する必要があります。
6日目の記事伝えたい結論は、立入検査の準備は、非常時に診療を止めないための準備そのものだということです。台帳は調査の起点、連絡体制図は初動の起点、BCPは継続の起点、運用管理規程は平時運用の起点です。厚生労働省の資料は、これらを単独の書類としてではなく、一連の管理体制として整えるよう求めています。立入検査で慌てない医療機関は、たいてい有事にも強いはずです。これは公的資料に基づく実務上の評価です。
