医療情報システムは、導入して終わりではありません。厚生労働省の令和7年5月版チェックリストマニュアルは、少なくとも年に1回はチェックリストを用いた点検を実施することを求め、確認結果は日頃の対策の実施に役立てるよう求めています。さらに、厚労省のBCP手引きは、BCPは定期的に見直し、必要な項目を更新することを明記しています。つまり、本番稼働後に必要なのは「問題が起きた時だけ見る運用」ではなく、定期点検と更新を回し続ける運用です。
ここで重要なのは、厚労省資料が求めている内容が、単なる“現状確認”にとどまらないことです。チェックリストマニュアルでは、医療機関は事業者に「事業者確認用」を送付し、複数システムを使っている場合は事業者ごとに確認すること、さらに年度内に全チェック項目で「はい」を目指して事業者と連携して取り組むことが示されています。したがって、定期点検は院内だけで完結する監査ではなく、ベンダーを巻き込んだ改善サイクルとして設計する必要があります。
このテーマで最初に伝えたいのは、年1回点検は最低ラインであって、運用の本体ではないという点です。チェックリストマニュアルは、年1回点検を求める一方で、結果は随時参照して日頃の対策に役立てるとしています。つまり実務上は、年1回の総点検に加えて、月次や四半期で見直す対象を決めておく方が自然です。これは制度文書の回数指定そのものではなく、公的資料の趣旨を運用へ落とした実務的整理です。
1. 点検は「年1回の棚卸」と「日常運用の確認」を分けて回す
チェックリストマニュアルは、医療機関確認用・事業者確認用を使って、実施状況を「はい/いいえ」で確認し、「いいえ」の場合は令和7年度中の目標日を入れるよう求めています。これは、点検が単なる自己評価ではなく、未対応項目に期限を付ける管理であることを意味します。したがって、23日目の記事では、年1回の総点検を「全項目レビュー」、その間の運用確認を「期限管理付きフォロー」と分けて考えると実務に落とし込みやすくなります。
2. 変更管理は「改訂履歴」「構成管理」「定期品質管理」で回す
厚労省のシステム運用編は、ソフトウェア・サービスに対する要求事項として、情報機器・ソフトウェアの改訂履歴と、導入時に実際に行われた作業の妥当性を検証するためのプロセスを規定することを求めています。また、医療情報システムで利用するシステム、サービス、情報機器等の品質を定期的に管理するための手順を作成し、これに従い必要な措置を講じ、企画管理者に報告することも求めています。厚労省文書で「変更管理」という見出しが前面に出ているわけではありませんが、実務上はこの一連の要求を変更管理として回すのが妥当です。
さらに同編は、ソフトウェアの構成管理について、本来構成すべきソフトウェアのバージョンなどが適切に管理されているかを事業者に確認し、導入や保守において構成管理手順に従った計画が策定・実施されていることを確認するよう求めています。つまり、本番稼働後の変更管理で最低限必要なのは、何を変えたか、誰が変えたか、どの手順で変えたか、妥当性をどう確認したかの4点です。
3. クラウドは「自院で直接構成管理できない前提」で確認する
厚労省のシステム運用編は、クラウドサービスなどの場合には、このような構成管理を直接、医療機関等が行うことは難しいとした上で、事業者において構成管理等の手順があり、それに基づいて実施していることの確認が想定されるとしています。つまり、SaaSやクラウド型電子カルテの本番後運用では、「自院で全部変化を把握する」発想ではなく、事業者の構成管理手順と変更通知の仕組みを確認し続けることが重要です。これは公的資料に基づく実務上の整理です。
4. 脆弱性・アップデート・EOS情報の収集ルートを止めない
厚労省のシステム運用編は、企画管理者は脆弱性情報を常に収集し、速やかに対応する必要があるとし、近年はファームウェアやプログラム等の脆弱性、EOS対象機器を狙った攻撃が多いと説明しています。さらに、情報源としてNISCやIPA、製品提供事業者などが挙げられ、必要に応じて事業者に確認しつつ最新情報を入手し、速やかに脆弱性対策を講じることが求められています。したがって、本番稼働後の点検項目には、**「脆弱性情報を誰が見るか」「重要アップデートを誰が判断するか」「EOS機器を誰が更改計画へ上げるか」**を含めるべきです。
ここで大切なのは、更新できない機器を放置しないことです。同編は、他ソフトウェアへの影響等もあり得るため、事前に事業者に実施可否を確認し、難しい場合には対策や管理方法を協議した上で代替策を講じる必要があるとしています。本番後の変更管理では、適用した更新だけでなく、見送った更新の理由と代替策も記録対象にすべきです。これは厚労省の要求を運用へ落とした専門家の見解です。
5. 台帳と構成図は、変更が起きたたびに更新対象にする
BCP手引きは、平時から院内のサーバ・端末PCのOS、IPアドレス、使用用途、脆弱性対応状況、ウイルス対策ソフトの稼働状況の一覧を整備し、さらにVPN、ファイアウォール、ルータ等の所在、IPアドレス、使用用途の一覧を作成するよう求めています。また、HIS系、インターネット系等の院内LANや外部接続点が判別できるネットワーク構成図を整備することも求めています。したがって、変更管理の基本台帳は、資産台帳とネットワーク構成図の2本立てで持ち、機器追加・設定変更・保守回線追加のたびに更新対象とするのが自然です。
同じBCP手引きは、医療機関が管理する機器と事業者が管理する機器を明確化し、脆弱性情報の収集や脆弱性対応プログラムの適用基準等を定めておくことも示しています。つまり、変更管理は台帳更新だけでなく、誰の責任で変更するかまで含めて回す必要があります。
6. 外部接続点と保守作業は、定期点検の重点対象にする
BCP手引きは、自医療機関に重要な脆弱性情報が事業者から報告されるスキーム(保守契約等)を確立しておくこと、さらにファイアウォール、VPN等外部接続点のアクセスログを定期的に確認する体制を整備しておくことを求めています。したがって、本番稼働後の定期点検では、電子カルテ本体より先に、VPN・外部保守回線・FWログを重点確認対象にする考え方が実務的です。
加えて、システム運用編は、保守時の安全管理対策として、保守要員の専用アカウント使用、個人情報アクセスの有無と作業内容の記録、リモートメンテナンス時のアクセスログ収集、作業計画書との照合、作業終了後の企画管理者への報告を求めています。つまり、ベンダー保守も「終わったら報告を受ける」だけでは足りず、計画・実施・ログ・報告を照合できる状態で管理する必要があります。
7. 点検結果はBCP・教育訓練・改善計画へ戻す
BCP手引きは、BCPは定期的に見直し、必要な項目を更新することを求め、さらに教育訓練を定期的に実施し、その結果に応じて改善計画を作成するよう示しています。つまり、定期点検や変更管理の結果は、情シス部門の記録に閉じるものではなく、BCP、障害時マニュアル、運用管理規程、訓練計画へ戻して初めて意味を持ちます。
このテーマで一番伝えたい結論は、本番稼働後の運用では、点検と変更管理を別々に考えないことです。年1回点検で全体を見直し、脆弱性情報・保守作業・構成変更はその都度管理し、結果をBCPや規程へ反映する。この循環ができてはじめて、「稼働中の医療情報システムを安全に維持している」と言えます。これは厚労省の現行資料をつないだ実務上の整理です。
