いま医療機関に求められているのは、単発の設定変更ではなく、継続運用できる安全管理の仕組みです。厚生労働省は「医療情報システムの安全管理に関するガイドライン 第6.0版」のページで、令和6年6月発出のサイバー攻撃を想定したBCP策定の確認表・手引き・ひな形を公開しています。また、医療機関等がサイバー攻撃、その疑い、または医療情報システム障害を受けた場合には、インシデント発生後速やかに厚生労働省へ連絡するよう案内しています。さらに、IPAが2026年1月29日に公表した「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位がランサム攻撃による被害、2位がサプライチェーンや委託先を狙った攻撃、4位がシステムの脆弱性を悪用した攻撃でした。最終回で扱うべきなのは、新しい論点を増やすことではなく、ここまでの29日分を経営と運用の一枚に束ねることです。

厚労省の経営管理編は、想定読者を経営方針を策定し、意思決定を担う経営層とし、医療機関の情報セキュリティインシデントは患者の生命・身体への影響だけでなく、経営責任、法的責任、行政処分、賠償責任、復旧費用など、医療機関の経営や運営に大きな影響を及ぼし得ると整理しています。そのうえで、安全管理対策は「コスト」ではなく、質の高い医療の提供に不可欠な「投資」だとしています。したがって、この30日シリーズの最終到達点は、情シス部門のToDoリストではなく、経営が意思決定できる形の実行計画であるべきです。

実務上の結論から言うと、30日目で決めるべきことは多くありません。7つです。
1つ目は、誰が決めるかです。経営層、企画管理者、システム運用担当者、CSIRT相当の連携窓口、委託先・保守事業者の連絡経路を一本化し、「誰が報告を受け、誰が止め、誰が例外を承認するか」を曖昧にしないことです。これは経営管理編が求める経営層の意思決定責任と、BCP関連資料が示すインシデント時の連絡・対応体制を、実務へ落とした整理です。

2つ目は、何を止めてはいけないかです。BCP策定確認表等が公開されている以上、医療機関は「システムが止まったら考える」ではなく、診療継続のために最低限残す業務と情報を決めておく必要があります。電子カルテ、検査結果参照、紙運用への切替、参照系環境、連絡体制のどこまでを最低ラインにするかは、各院で違いますが、“全部守る”ではなく“何を優先して守るか”を決めることが要点です。これは公的資料の存在を前提にした専門家の見解です。

3つ目は、外から何を入れてよいかです。ランサム攻撃が依然として最上位脅威であり、サプライチェーン攻撃や脆弱性悪用攻撃も上位にある以上、外部接続、保守回線、委託先、クラウド連携は「便利な経路」ではなく、重要な管理対象です。ここまでの連載で扱った保守回線、委託先、SaaS、責任分界の論点は、最終的には「どの接続を許可し、誰が責任を持つか」の一本に集約されます。これはIPAの脅威認識と厚労省の管理責任の考え方をつないだ専門家の見解です。

4つ目は、例外をどう管理するかです。厚労省は、脆弱性情報の継続収集、事業者への実施可否確認、代替策の実施を求めています。したがって、「当てられない」「まだ対応できない」「ベンダー待ち」という状態は、許されるか否かではなく、管理対象として残せているかが問われます。26日目で再設計したように、例外は台帳化し、27日目で整理したように、監査・立入検査へつながる証跡にする必要があります。最終回で決めるべきなのは、例外をゼロにする宣言ではなく、例外を放置しない運用です。

5つ目は、何を証跡として残すかです。立入検査や監査で重要になるのは、現場の説明能力より、台帳、連絡体制図、BCP、規程類、チェックリスト、例外の根拠資料がそろっていることです。少なくとも令和7年度版の医療機関確認用チェックリストでは、立入検査時に本チェックリストを確認し、「いいえ」の場合は対応目標日を記入する運用が示されています。したがって、最終回では「どこまで対策したか」より、何が未対応で、いつまでに、どう改善するかが証跡付きで残っているかを成果物と考えるべきです。

6つ目は、何を今年度やるか、何を中期更改へ回すかです。経営管理編は、経営層に安全管理を維持するための計画策定と改善措置を求めています。したがって、例外台帳や監査結果は、報告書で終わらせず、短期の運用改善、年度内の実施案件、中期更改案件に分けて計画化する必要があります。たとえば、不要アカウント削除や接続元制限は短期改善、二要素認証の全面化やEOS更改は年度計画または中期更改計画に載せる、といった整理です。これは制度文書の見出しそのものではなく、現行資料を計画実務へ落とした専門家の見解です。

7つ目は、次の点検と訓練をいつやるかです。厚労省の関連資料は、BCP策定・見直しのための確認表や手引きを公開しており、令和7年度版のチェックリスト運用でも、未対応項目に目標日を持たせる考え方が示されています。最終回で大切なのは、「30日で全部終わらせる」ことではなく、30日で次の1年の運用サイクルを起動することです。ここまでの連載で扱った教育、机上演習、現場訓練、年次点検、経営報告は、すべてこの一文に集約されます。これは公的資料の趣旨を、連載の締めとして再構成した専門家の見解です。

この30日シリーズの最終成果物を、実務上ひとつに絞るなら、医療機関サイバー安全管理 1枚サマリー」です。名称そのものは公的資料の固定用語ではありませんが、内容としては、責任体制、止められない業務、外部接続方針、例外台帳の状況、証跡管理、年度計画、中期更改計画、次回点検・訓練予定が一枚で見えるものです。厚労省が求める経営層の理解と判断、点検と改善、BCP整備、インシデント時の速やかな連絡、そしてIPAが示す継続的脅威の状況を踏まえると、最終回の落としどころは、このレベルの意思決定シートにするのが最も実務的です。