厚労省の令和7年5月版チェックリストマニュアルは、医療機関に対して、少なくとも年に1回はチェックリストを用いた点検を実施することを求めています。さらに、立入検査では、「医療機関確認用」「事業者確認用」の全項目について確認日と回答等が記入されていることを確認し、そのうち台帳、連絡体制図、BCP、規程類は現物確認するとしています。したがって、27日目の主題は「例外を管理している」ことではなく、例外を外部に説明できる形で残しているかです。

同時に、BCP手引きは、サイバー攻撃を想定したBCPについて、自機関だけでなく事業者その他の関係者とのリスクコミュニケーションが必要であり、BCPは定期的に見直し、必要な項目を更新するよう求めています。つまり、前日の26日目が「台帳を作る回」なら、27日目は「その台帳を点検・見直し・説明の流れへ乗せる回」にするのが、現行の公的資料と噛み合います。

ここで最初に押さえたいのは、脆弱性例外管理台帳そのものの全国共通様式は、少なくとも今回確認した厚労省資料では示されていないという点です。
したがって、以下で示す運用は、厚労省が求めている台帳管理、事業者確認、代替策、目標日管理、監査・立入検査対応を、実務で回しやすい形に再構成したものです。ここは専門家の見解として扱うのが正確です。

1. 台帳単体では説明にならない

経営管理編は、医療機関等の通常時の責任として、文書化、管理体制整備、定期的な報告の受領、組織内監査、定期的な見直しと改善措置を求めています。また、監査の結果についても文書化し、第三者が妥当性を検証できる状態にする必要があるとしています。したがって、例外管理台帳は「一覧表」で終わるのではなく、判断根拠と対応証跡へたどれる索引である必要があります。

実務上は、例外1件ごとに、少なくとも対象資産、対象脆弱性または更新情報、未適用理由、事業者への確認結果、講じた代替策、再判定予定日、責任者、関連する設定変更票やログの所在までを紐づけておくと、監査や立入検査で説明しやすくなります。
この項目立て自体は厚労省の定型様式ではありませんが、厚労省が求める台帳管理実施可否確認代替策目標日報告・監査を一つにつなぐための、実務上の整理です。

2. 1件ごとに「証跡束」を持たせる

システム運用編は、脆弱性対応にあたり、事前に事業者へ実施可否を確認し、難しい場合はリスクへの対策や管理方法を協議した上で代替策を講じる必要があるとしています。さらにチェックリストマニュアルは、サーバ、端末PC、ネットワーク機器の台帳管理リモートメンテナンス機器の有無確認MDS/SDSの回収を求めています。したがって、例外1件ごとに必要なのは、単なる「未適用」の記録ではなく、その判断に至った根拠の束です。

この「証跡束」は、実務上は資産台帳の該当行、ベンダー回答、MDS/SDSの該当箇所、暫定措置の設定変更記録、必要なら保守作業ログ、次回再判定日をひとまとまりで引ける状態を指します。
ここでの「証跡束」という言葉は専門家の見解ですが、厚労省の現行資料にある要求を、監査で説明しやすい形にした言い換えです。

3. 年1回点検との接続は「はい/いいえ」と目標日で管理する

チェックリストマニュアルは、各項目を「はい」「いいえ」で記入し、「いいえ」の場合は令和7年度中の目標日を記入するよう求めています。また、結果は随時参照して、日頃の対策の実施に役立てること、そして少なくとも年に1回は点検することが明記されています。したがって、例外管理台帳は、チェックリストの「いいえ」を裏で支える根拠資料として使うのが自然です。

実務上は、年1回点検の時に台帳から未解消例外、目標日超過案件、EOS案件、再判定未実施案件を抽出し、チェックリストの未達項目と対応づけると、点検が単なる丸付けで終わりにくくなります。
この運用手順は厚労省の固定様式ではありませんが、目標日管理と年次点検の要求を実務へ展開した専門家の見解です。

4. 立入検査では「例外そのもの」より「管理の痕跡」が見られる

チェックリストマニュアルによれば、立入検査では、確認日と回答等が記入されたチェックリストに加えて、台帳、連絡体制図、BCP、規程類の現物が確認されます。つまり、検査で問われるのは「例外がゼロか」より、例外があるなら、それが台帳、規程、BCP、連絡体制と矛盾なく管理されているかです。

このため、27日目では、例外管理台帳を単独で持つより、台帳 → 規程 → BCP → 連絡体制 → ベンダー確認資料へつながる構造で管理していることを示す方が有効です。
ここでのつなぎ方は専門家の見解ですが、立入検査が現物確認する資料群と、BCP手引きが求めるリスクコミュニケーション・定期見直しの考え方に沿っています。

5. 監査で問われるのは「何が危ないか」より「どう判断したか」

経営管理編は、経営層に対し、定期的に管理状況に関する報告を受けて状況を確認し、組織内において監査を実施することを求めています。また、自己点検の結果を把握した上で、必要に応じて改善に向けた対応を指示することが重要だとしています。つまり、内部監査や経営報告で重要なのは、「未適用が何件あるか」だけでなく、なぜ未適用なのか、何を代わりにしているのか、いつ見直すのかが一貫して説明できることです。

このため、監査向けには例外1件を理由、ベンダー確認、暫定措置、残留リスク、再判定日、最終責任者で読み解けるようにしておくと有効です。
この6点は厚労省の固定項目ではなく、報告・監査・改善指示の流れに乗せやすいよう再構成した専門家の見解です。

6. 例外は「継続」だけでなく「解除」か「更改」へ閉じる

システム運用編は、脆弱性やEOS対象機器が攻撃対象となり得ることを示し、対応が難しい場合でも代替策を講じる必要があるとしています。BCP手引きも、脆弱性対応プログラムの適用基準等を定めておくことや、重要な脆弱性情報が事業者から報告されるスキームを確立しておくことを求めています。したがって、例外は「継続」のまま置かず、最終的に解除できたのか、暫定措置付きで継続するのか、更改案件として経営判断へ上げるのかのいずれかへ閉じる必要があります。

特にEOS理由の例外は、単なる保留ではなく、更改予定時期と責任者を伴う案件として扱う方が、監査・立入検査・経営会議のどこでも説明しやすくなります。
この「EOSは更改案件として閉じる」という整理は、厚労省のEOSリスクの考え方を運用へ落とした専門家の見解です。