厚労省の経営管理編は、経営管理編の想定読者を、組織の経営方針を策定し、意思決定を担う経営層だと明記しています。そのうえで、通常時の責任として、定期的に管理状況に関する報告を受けて状況を確認すること組織内において監査を実施すること、そして定期的な見直しを実施し、必要に応じて改善措置を講じるよう企画管理者及びシステム運用担当者に指示することを求めています。さらに、サイバーインシデントは患者への影響だけでなく、経営責任、法的責任、行政処分、復旧費用など、医療機関の経営や運営に大きな影響を及ぼし得ると整理しています。つまり、28日目で扱うべき中心は、「情シスが何をしているか」ではなく、経営が何を判断すべきかです。

ここで大事なのは、26日目・27日目の情報を、そのまま全部会議に上げないことです。26日目で作った例外管理台帳は、27日目で年1回点検、立入検査、監査へつなぐ証跡資料になります。しかし経営層が必要とするのは、台帳の全文ではなく、そこから抽出された「判断が必要な事項」です。これは、チェックリストマニュアルが、事業者確認用を含めた点検結果を随時参照して日頃の対策に役立てること、さらに少なくとも年に1回は点検することを求めていることとも整合します。

1. 経営層に上げるべきものは「全件」ではなく「残留リスク」

経営層への定例報告でまず必要なのは、現在の残留リスクです。厚労省は、通常時から脆弱性対策、重要アップデート、EOS情報を収集し、速やかに対策できる体制を整えるよう求めています。また、企画管理者は脆弱性情報を常に収集し、速やかに対応する必要があるとしています。したがって、会議体へ上げるべきなのは、更新完了件数の一覧より、未適用の重要案件、暫定措置で継続している案件、EOS機器、外部接続点に関わる案件です。これは厚労省の要求を、経営報告向けに圧縮した実務的整理です。

このとき、26日目の例外管理台帳からは、少なくとも未適用理由、代替策、再判定予定日、責任者が引ける状態にしておくと、報告が「危ないらしい」で終わらず、何を、いつまでに、誰が解消するのかまで上げられます。ここでの整理は、チェックリストマニュアルの「いいえ」の場合は目標日を記入する運用と、経営管理編の改善措置を指示する責任をつないだ実務上の見解です。

2. 経営層には「証跡そのもの」ではなく「証跡で裏づけられた要約」を出す

27日目で整理したとおり、監査や立入検査では、チェックリスト記入、台帳、BCP、規程類などの現物確認が想定されています。したがって、経営層へ出す資料も、感覚的な説明ではなく、裏に証跡がある要約である必要があります。実務上は、例外案件1件ごとの詳細を会議にすべて持ち込むのではなく、件数、影響範囲、残留リスク、必要な意思決定、関連証跡の所在の形でまとめる方が有効です。
この「要約+裏付け証跡」という報告の形は、厚労省が求める定期報告、監査、文書化、第三者が妥当性を検証できる状態を、会議運営へ落とした専門家の見解です。

3. 定例報告は「何が起きたか」ではなく「何を決めてもらうか」で分ける

経営管理編は、安全管理対策を「コスト」ではなく、質の高い医療の提供に不可欠な「投資」と捉え、その実施に必要な資源の確保に努めることが重要だとしています。したがって、経営層向け報告は、現場の活動報告ではなく、投資や優先順位を決めるための資料であるべきです。実務上は、少なくとも①残留リスク、②更改・予算が必要な案件、③規程・BCP改定が必要な案件、④委託先や保守契約の見直しが必要な案件に整理して上げると、意思決定につながりやすくなります。これは制度文書の固定分類ではなく、経営管理編の要求を会議体へ落とした専門家の見解です。

4. BCPと訓練の進捗は、別建てで経営層に上げる

BCP手引きは、BCPは定期的に見直し、必要な項目を更新することを求めています。また、チェックリストマニュアルは、少なくとも年に1回はチェックリストを用いた点検を実施するよう求めています。したがって、経営層への報告では、例外管理台帳の案件だけでなく、その結果がBCP、代替運用、教育訓練へどう反映されているかも別建てで上げる必要があります。

例えば、外部接続点に関する例外が増えているなら、BCP手引きが求める外部接続点を含むネットワーク構成図の整備や、代替運用手順の整備保守契約・連絡体制の見直しへつなげる必要があります。経営層が見るべきなのは、「例外件数」そのものより、例外から見えた組織的な弱点が、どこまで改善計画に落ちているかです。これはBCP手引きの趣旨を、経営報告へ展開した専門家の見解です。

5. 事業者確認用チェックリストの結果も、経営判断に接続する

チェックリストマニュアルは、医療機関が事業者に「事業者確認用」を送付し、事業者ごとに確認して回収することを求めています。また、点検結果は随時参照して日頃の対策の実施に役立てるべきだとしています。したがって、経営層へ上げるべきなのは、自院の未対応だけではなく、委託先・クラウド事業者側の未対応や、契約見直しが必要な事項です。

特に、ベンダー未対応、保守制約、再委託の不透明さ、ログ提供条件の不足のような事項は、現場だけで解けないことがあります。こうした論点は、経営管理編が求める事業者選定、契約管理、責任分界、体制管理の問題として、経営層に上げる方が適切です。ここは公的資料に沿った実務整理です。