厚生労働省のBCP手引きは、サイバー攻撃を想定したBCPの策定に先立ち、リスク分析は自機関だけでなく、事業者その他の関係者との間で情報や意見を相互に交換する「リスクコミュニケーション」が必要だとしています。さらに経営管理編では、情報セキュリティインシデントの発生に備え、システム関連事業者または外部有識者と、非常時を想定した情報共有や支援に関する取決めや体制を整備するよう指示することを求めています。つまり、医療機関の連携体制は、インシデント発生後に慌てて作るものではなく、平時から作っておく前提です。
このテーマで最初に押さえるべきなのは、「連携先一覧」ではなく「連携が動く体制図」が必要だという点です。令和7年5月版のチェックリストマニュアルでは、インシデント発生時の組織内と外部関係機関の連絡体制図が必要とされ、そこには施設内の連絡先だけでなく、事業者、情報セキュリティ事業者、外部有識者、都道府県警察の担当部署、厚生労働省や所管省庁等が含まれる想定だと示されています。しかも、立入検査では連絡体制図が作成されていることを確認すると明記されています。連絡先をExcelに持っているだけでは足りず、誰から誰へ上げるかが見える図面になっている必要があります。
その中心に置かれるのがCSIRTです。BCP手引きでは、どの部署から生じたシステム障害であっても、CSIRTと経営者に必ず伝達されるよう担当者を整備することが求められています。また、チェックリストマニュアルはCSIRTを、インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集・分析し、対応方針や手順の策定などを行う組織と説明しています。したがってCSIRTは、単なる通報窓口ではなく、情報を集約し、状況を整理し、経営判断につなぐ中枢として理解するのが妥当です。
さらに経営管理編では、インシデント発生時に影響範囲や損害の特定、初動対応、原因究明、再発防止策の検討を速やかに実施するためのCSIRT等を整備することが望ましいとし、一定規模以上の病院や地域で重要な機能を果たしている医療機関では、CSIRTの整備が強く求められるとしています。したがって、少なくとも中核病院や地域医療への影響が大きい医療機関では、CSIRTを「あればよい」ではなく、優先度の高い体制整備項目として捉えるべきです。
一方で、BCP手引きは、サイバー攻撃の兆候がある場合に、経営層が対応チームを設置し、システム使用中止に伴う業務運用方針を検討することも示しています。ここからの実務上の整理としては、CSIRTは常設の司令塔、対応チームは個別事案ごとの実働部隊として分けて考えると理解しやすいです。これはガイドライン本文がそのまま定義しているわけではありませんが、BCP手引きがCSIRTへの伝達と経営層による対応チーム設置を別々に記していることを踏まえた実務的な整理です。
では、CSIRTや対応チームだけで足りるのかというと、そうではありません。経営管理編は、システム関連事業者や外部有識者と非常時を想定した情報共有・支援の取決めや体制を整備するよう求め、特にサイバー攻撃では初動が重要なため、システム関連事業者、情報セキュリティ事業者、外部有識者等の緊急連絡網と、医療機関外を含む情報開示の通知先一覧を整備して、対応に従事する担当者へ共有しておくことが有用だとしています。ここで重要なのは、外部支援先を「いざとなったら探す」のではなく、誰に何を頼むかまで先に決めておくことです。
BCP手引きはさらに踏み込み、自機関で証拠保全が難しい場合は事業者等へ依頼すること、またあらかじめ初動対応の流れを事業者等と事前に確認しておくことを求めています。復旧局面でも、自機関で復旧が困難な場合は事業者へ復旧作業を依頼し、バックアップ復元手順や対応者を平時に定めておくことが例示されています。つまり、ベンダー連携は保守契約の話ではなく、初動・証拠保全・復旧の各局面でどう協働するかを事前定義する話です。
ただし、ベンダーと連携することは、ベンダーに任せ切ることと同じではありません。経営管理編では、委託先事業者の過失によるインシデントでも、医療機関が責任を免れることはできないとしたうえで、適切な委託先の選定、責任分界の可視化、契約管理、再委託時の事前協議・合意、責任範囲の明確化を求めています。さらに、事業者選定では、JIS Q 15001、JIS Q 27001、または同等規格の認証を受けた事業者を選定するよう指示することが示されています。したがって、連携体制の質は、「付き合いのあるベンダーがいるか」ではなく、責任分界と再委託管理まで見えているかで決まります。
外部連携には、事業者や専門家だけでなく、所管官庁や警察も含まれます。経営管理編は、インシデント発生に備え、厚生労働省、都道府県警察の担当部署その他の所管官庁等に速やかに報告するための手順・方法・体制を整備するよう求めています。また、医療分野のサイバーセキュリティ対策ページでは、医療機関等がサイバー攻撃を受けた場合だけでなく、その疑いがある場合や、医療情報システム障害が発生した場合にも、インシデント発生後速やかに連絡するよう案内しています。つまり、外部報告は「確定後の後処理」ではなく、初動対応の一部です。
実務上、ここで頼りになるのが厚労省委託事業のMISTです。MISTの案内では、医療機関向けに経営層・システム管理者・初学者向けの研修に加え、インシデント発生時の初動対応支援を提供しており、トップページでは、インシデント発生時にオンラインまたは現地訪問で支援する体制があると説明されています。したがって、特に小規模医療機関では、院内に十分な専門人材がいない場合でも、MISTのような外部支援窓口を連絡体制図に組み込んでおくことが現実的です。
このテーマで一番伝えたい結論は、連携体制は「人を並べること」ではなく、「情報が止まらない経路を作ること」だということです。現場の異常がCSIRTへ上がり、CSIRTから経営層へ届き、経営層が対応チームを立ち上げ、ベンダー・外部有識者・所管官庁・警察へ必要な連絡が流れる。この経路が平時から図面と契約と手順で定義されていれば、被害拡大防止、証拠保全、診療継続、復旧判断がつながります。これは厚労省のBCP手引き、経営管理編、チェックリストマニュアルを統合した実務上の整理です。
