最終更新日: 2026年3月
医療分野におけるデジタル化の進展に伴い、医療情報システムの安全管理は医療機関の経営上の最重要課題の一つとなっている。2023年4月の医療法施行規則改正によりサイバーセキュリティ確保が義務化され、全ての医療機関が安全管理体制の整備を求められる時代に突入した。
本記事では、厚生労働省「医療情報システムの安全管理に関するガイドライン」(第6.0版、令和5年5月) および 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(第2.0版、令和7年3月改定) の2本からなる「3省2ガイドライン」を基軸に、医療機関および情報システム事業者が対応すべき安全管理の実務を体系的に解説する。
関連記事
– 電子的診療情報連携体制整備加算の新設|医療DX推進体制整備加算からの移行と要件一覧 — 令和8年度診療報酬改定で新設される加算の施設基準として、本ガイドラインへの準拠が要件化されている
– 個人情報保護法 2026年改正|3年見直しの制度改正方針と実務対応 — 医療情報の安全管理に関連する個人情報保護法の2026年改正(課徴金制度・委託管理の再設計等)を解説
3省2ガイドラインの全体像と統合の経緯
3省3ガイドラインから3省2ガイドラインへ
医療情報システムに関する国のガイドラインは、かつて厚生労働省・経済産業省・総務省がそれぞれ1本ずつ策定する「3省3ガイドライン」体制であった。しかし、事業者から見て参照すべきガイドラインが複数に分かれ、内容の重複や整合性の課題が指摘されていたことから、経済産業省と総務省のガイドラインが統合され、現在の「3省2ガイドライン」体制に移行した。
| 時期 | 体制 | ガイドライン構成 | 備考 |
|---|---|---|---|
| 2005年〜 | 3省3ガイドライン | ①厚労省「医療情報システムの安全管理に関するガイドライン」②経産省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」③総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」 | 各省が個別に策定・改定 |
| 2020年8月 | 3省2ガイドラインへ移行 | ①厚労省ガイドライン(従来どおり)②経産省・総務省の統合ガイドライン「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(第1版) | 経産省・総務省のガイドラインを統合 |
| 2023年5月 | — | ①厚労省ガイドライン 第6.0版②経産省・総務省ガイドライン 第1.1版(令和5年7月改定) | 両ガイドラインが同時期に改定 |
| 2025年3月 | 現行 | ①厚労省ガイドライン 第6.0版(変更なし)②経産省・総務省ガイドライン 第2.0版(令和7年3月改定) | サイバー攻撃の多様化・巧妙化、医療機関等と事業者間の取決めの重要性の高まりを踏まえた改定 |
出典: 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(令和5年5月)
2本のガイドラインの対象と関係性
3省2ガイドラインは、医療情報の安全管理を 「医療機関等」側 と 「情報システム・サービス提供事業者」側 の双方から規律するものである。
| 項目 | 厚労省ガイドライン(第6.0版) | 経産省・総務省ガイドライン(第1.1版) |
|---|---|---|
| 正式名称 | 医療情報システムの安全管理に関するガイドライン | 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン |
| 対象者 | 医療機関等(病院、診療所、薬局、助産所、介護事業者等) | 医療情報を取り扱う情報システム・サービスの提供事業者 |
| 目的 | 医療機関等が医療情報を適切に管理するための指針 | 事業者が医療情報の安全管理に必要な対策を講じるための指針 |
| 最新版 | 第6.0版(令和5年5月) | 第2.0版(令和7年3月) |
| 主な根拠法令 | 医療法、個人情報保護法、e-文書法 | 個人情報保護法、不正アクセス禁止法 |
| 構成 | 概説編、経営管理編、企画管理編、システム運用編の4編 | 本編+別冊(サービス仕様適合開示書・SLA参考例等) |
実務上のポイント: 医療機関が情報システムを外部委託・クラウド利用する場合、厚労省ガイドラインと経産省・総務省ガイドラインの 双方 の要件を満たす必要がある。委託先の事業者が経産省・総務省ガイドラインに準拠していることを、契約締結前に確認すべきである。
厚労省ガイドライン第6.0版の構成と要点
4編構成と各編の対象読者
厚労省ガイドライン第6.0版は、従来の一体型構成から 4編構成 に大幅に再編された。これにより、各読者(経営者、企画管理者、システム運用者)が自身に関係する編を効率的に参照できるようになった。
| 編名 | 対象読者 | 主な内容 | ページ数目安 |
|---|---|---|---|
| 概説編 | 全ての関係者 | ガイドラインの目的・対象範囲・用語定義・全体構成の説明 | 約40頁 |
| 経営管理編 | 医療機関等の経営層(院長、理事長、管理者等) | 安全管理に関する経営上の責任、リスク管理の方針策定、安全管理体制の構築 | 約20頁 |
| 企画管理編 | システム安全管理責任者、企画管理者 | 安全管理に関する規程の整備、リスクアセスメント、外部委託・クラウド利用の管理、教育研修の実施 | 約90頁 |
| システム運用編 | システム運用担当者、情報システム部門 | 技術的なセキュリティ対策の具体的な実装方法(アクセス制御、暗号化、ログ管理、ネットワーク管理等) | 約90頁 |
出典: 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」概説編(令和5年5月)
【実務ポイント】 厚労省ガイドライン第6.0版は4編構成だが最初に取り組むべきは「経営管理編」を経営層(院長・理事長)に読んでもらうこと。サイバーセキュリティ対策の義務は管理者(開設者)に課されたもの(医療法施行規則第14条第2項)。経営管理編は約20ページとコンパクト。「まずこの20ページだけ読んでほしい」と伝えるのが効果的。
第6.0版の主要な改定ポイント
第5.2版(令和4年3月)から第6.0版への主な変更点は以下のとおりである。
| 改定項目 | 第5.2版までの記載 | 第6.0版での変更 |
|---|---|---|
| 構成の刷新 | 全10章の一体型構成 | 概説編・経営管理編・企画管理編・システム運用編の4編構成に再編 |
| クラウドサービス利用 | 第8章に限定的な記載 | 企画管理編・システム運用編で大幅に拡充、責任分界の明確化を要求 |
| ゼロトラスト思考 | 明示的な記載なし | ネットワーク境界防御に加え、ゼロトラストの考え方を導入 |
| サイバーセキュリティ対策 | 外部からの攻撃対策を記載 | 医療法施行規則改正を踏まえ、インシデント対応計画・BCP策定を強化 |
| オンライン資格確認 | 言及あり | マイナンバーカードによるオンライン資格確認等システムへの対応を追記 |
| 安全管理の実効性確保 | 管理策の列挙が中心 | 「最低限のガイドライン」と「推奨されるガイドライン」を区別して提示 |
安全管理措置の4分類と要求事項
組織的安全管理措置
組織的安全管理措置は、医療情報の安全管理に関する組織体制と規程を整備するための措置である。個人情報の保護に関する法律(平成15年法律第57号)第23条に基づく安全管理措置義務の根幹をなす。なお、2026年の個人情報保護法改正では課徴金制度の導入や委託管理の強化が予定されており、医療機関への影響も大きい(詳細は「個人情報保護法2026年改正の実務対応」を参照)。
| 要求事項 | 具体的内容 | 対応の優先度 |
|---|---|---|
| 安全管理責任者の設置 | 医療情報システムの安全管理に関する責任者を組織内に設置する。経営管理編において、経営層が責任者を任命することを要求 | 必須 |
| 安全管理に関する規程の整備 | 情報セキュリティポリシー(基本方針・対策基準・実施手順)を策定する | 必須 |
| リスクアセスメントの実施 | 医療情報資産の洗い出し、脅威・脆弱性の分析、リスク評価と対応策の決定 | 必須 |
| インシデント対応計画の策定 | セキュリティインシデント発生時の報告体制、初動対応手順、関係機関への通知手順を定める | 必須 |
| 監査の実施 | 定期的な内部監査・外部監査を実施し、安全管理措置の実効性を確認する | 推奨 |
| 業務委託先の管理 | 委託先の安全管理体制を契約で担保し、定期的に監督する | 必須(委託時) |
物理的安全管理措置
物理的安全管理措置は、医療情報を取り扱う施設・機器に対する物理的なセキュリティ対策である。
| 要求事項 | 具体的内容 | 対応例 |
|---|---|---|
| 入退室管理 | サーバ室等の重要区域への入退室を管理する | ICカード、生体認証、入退室記録の保管 |
| 機器の盗難・紛失防止 | 医療情報を格納する機器の物理的保護 | セキュリティワイヤー、施錠可能なキャビネット |
| 記録媒体の管理 | USBメモリ、外付けHDD等の可搬記録媒体の管理 | 台帳管理、暗号化、使用制限ポリシー |
| 機器の廃棄 | 不要となった機器内の情報を復元不可能な状態にする | データ消去ソフトの利用、物理破壊、廃棄証明の取得 |
| 災害対策 | 自然災害等に備えたサーバ室の環境整備 | 免震・耐震対策、無停電電源装置(UPS)、温湿度管理 |
技術的安全管理措置
技術的安全管理措置は、情報システム上でのアクセス制御、暗号化、監視等の技術的対策である。システム運用編において詳細な実装要件が示されている。
| 要求事項 | 具体的内容 | ガイドラインの要求レベル |
|---|---|---|
| 利用者認証 | システムへのアクセスを正当な利用者に限定する | 二要素認証を推奨。ID・パスワードの場合は最低12文字以上、英数記号混合を推奨 |
| アクセス制御 | 利用者の職種・役割に応じた情報へのアクセス権限設定 | 最小権限の原則(Need to Know)の適用 |
| アクセスログの管理 | システムへのアクセス履歴を記録・保管する | 最低1年間の保管を推奨。改ざん防止措置を講じること |
| 通信の暗号化 | ネットワーク経由のデータ送受信を暗号化する | TLS1.2以上の利用を推奨。VPN等の経路暗号化 |
| 保存データの暗号化 | 保存された医療情報を暗号化する | AES256ビット以上を推奨 |
| 不正ソフトウェア対策 | マルウェア等の不正プログラムへの対策 | ウイルス対策ソフトの導入、定義ファイルの自動更新 |
| ネットワーク監視 | 不正アクセスや異常通信の検知 | IDS/IPS、ファイアウォール、SOCの活用 |
| 脆弱性管理 | OSやソフトウェアの脆弱性への対応 | 定期的な脆弱性スキャン、パッチ適用の迅速化 |
人的安全管理措置
人的安全管理措置は、医療情報を取り扱う従業者に対する教育・監督に関する措置である。
| 要求事項 | 具体的内容 | 実施頻度・方法 |
|---|---|---|
| 教育研修の実施 | 情報セキュリティに関する研修を全従業者に対して実施する | 年1回以上。新規採用時にも実施 |
| 守秘義務の明確化 | 雇用契約・委託契約において守秘義務を明示する | 入職時に誓約書の取得。退職後の義務も明記 |
| 従業者の監督 | 管理者が従業者の情報取扱いを適切に監督する | 定期的な遵守状況の確認 |
| 違反時の対応 | セキュリティポリシー違反時の処分基準を定める | 就業規則への規定、懲戒処分の手続き明確化 |
| 標的型攻撃への対応訓練 | フィッシングメール等への対処訓練 | 年1回以上の訓練メール送信を推奨 |
電子カルテの3原則と法的要件
真正性・見読性・保存性の要件
電子カルテをはじめとする診療録等の電子保存にあたっては、e-文書法(民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律、平成16年法律第149号) および 医療法施行規則(昭和23年厚生省令第50号)第20条 等に基づき、以下の3原則を満たす必要がある。
| 原則 | 定義 | 具体的要件 | 技術的対策例 |
|---|---|---|---|
| 真正性 | 正当な権限において作成された記録に対し、虚偽入力、書き換え、消去及び混同が防止されており、かつ、第三者から見て作成の責任の所在が明確であること | ①作成者の識別・認証 ②記録の確定手順の明確化 ③更新履歴の保存 ④代行入力時の承認手順 | 電子署名、タイムスタンプ、操作ログの記録、アクセス制御 |
| 見読性 | 電子媒体に保存された内容を、権限保有者からの要求に基づき必要に応じて肉眼で見読可能な状態にできること | ①速やかな書面への表示・印刷 ②災害等の緊急時にも情報へのアクセスが可能であること ③関連する情報の一覧性の確保 | 表示装置・印刷装置の整備、冗長構成、バックアップシステム |
| 保存性 | 記録された情報が法令等で定められた期間にわたって真正性を保ち、見読可能にできる状態で保存されること | ①保存期間中のデータの完全性確保 ②記録媒体の劣化対策 ③ソフトウェア・機器の更新時のデータ移行 ④ウイルス・不正ソフトウェアからの保護 | RAID構成、バックアップの世代管理、媒体の定期交換、マイグレーション計画 |
法定保存期間と対象文書
医療関係文書には法令で定められた保存期間があり、電子保存システムはこれを充足する設計が必要である。
| 文書種類 | 保存期間 | 根拠法令 |
|---|---|---|
| 診療録(カルテ) | 5年間 | 医療法施行規則第20条、医師法第24条第2項 |
| 助産録 | 5年間 | 保健師助産師看護師法第42条 |
| 調剤録 | 3年間 | 薬剤師法第28条第3項 |
| 処方箋 | 3年間 | 薬剤師法第27条 |
| 看護記録 | 2年間 | 保険医療機関及び保険医療養担当規則第9条 |
| エックス線写真等の画像記録 | 5年間 | 医療法施行規則第20条第10号 |
| 特定生物由来製品に関する記録 | 20年間 | 薬機法第68条の22第3項 |
注意: 保険診療に係る診療録等は、保険医療機関及び保険医療養担当規則第9条により 完結の日から5年間 の保存義務がある。自由診療の場合は医師法の3年間(又は医療法施行規則の5年間)が基準となるが、訴訟リスクを考慮し、最低5年以上の保存を推奨する。
電子署名とタイムスタンプの要件
真正性を確保するための技術的措置として、電子署名およびタイムスタンプに関する要件が定められている。
| 要件項目 | ガイドラインの要求 | 補足 |
|---|---|---|
| 電子署名の種類 | 厚生労働省の定める準拠性監査基準を満たす認証局が発行する電子証明書に基づくもの、またはこれに相当する措置 | HPKI(保健医療福祉分野の公開鍵基盤)に基づく電子署名が推奨される |
| タイムスタンプ | 総務省認定のタイムスタンプ局(時刻認証業務認定事業者)が発行するタイムスタンプを推奨 | 記録の確定時刻の証明に使用 |
| 署名の有効期間 | 電子署名の有効期間が満了する前に、長期署名(PAdES-LTV等)の措置を講じること | 保存期間が署名の有効期間を超える文書に必須 |
クラウドサービス利用時の安全管理
クラウド利用の増加と責任分界
医療機関のクラウドサービス利用は急速に拡大しており、電子カルテやPACS(医用画像管理システム)、オンライン診療システム等のクラウド化が進んでいる。ガイドライン第6.0版では、クラウドサービス利用時の責任分界と安全管理要件が大幅に拡充された。
| サービスモデル | 医療機関の責任範囲 | 事業者の責任範囲 | 留意点 |
|---|---|---|---|
| SaaS(Software as a Service) | データ入力の正確性、利用者の管理、アクセス権限の設定 | アプリケーション、ミドルウェア、OS、ネットワーク、物理インフラの安全管理 | 最も事業者側の責任範囲が広い。カスタマイズの余地は限定的 |
| PaaS(Platform as a Service) | アプリケーションの開発・運用、データ管理 | ミドルウェア、OS、ネットワーク、物理インフラの安全管理 | アプリケーション層のセキュリティは医療機関側の責任 |
| IaaS(Infrastructure as a Service) | OS以上の全レイヤー(OS設定、ミドルウェア、アプリケーション、データ管理) | ネットワーク、物理インフラの安全管理 | 医療機関側に高度な技術力が必要 |
クラウドサービス事業者選定のチェック項目
医療機関がクラウドサービスを選定する際に確認すべき事項を以下に整理する。
| チェック項目 | 確認内容 | ガイドラインの参照箇所 |
|---|---|---|
| サービス仕様適合開示書の提出 | 経産省・総務省ガイドラインに基づくサービス仕様適合開示書(SLA等を含む)を事業者が提出可能か | 経産省・総務省GL 別冊 |
| データの保存場所 | 医療情報が保存されるデータセンターの所在地(国内であることを確認) | 企画管理編 13章 |
| 第三者認証の取得状況 | ISMS(ISO/IEC 27001)、ISMS-PIMS(ISO/IEC 27701)、ISMAP等の認証取得の有無 | 企画管理編 13章 |
| データポータビリティ | サービス終了時や事業者変更時のデータ移行手順・フォーマットが明確か | 企画管理編 13章 |
| バックアップ体制 | データのバックアップ頻度、保存世代数、復旧手順が明確か | システム運用編 |
| インシデント対応 | セキュリティインシデント発生時の事業者側の対応手順・通知体制が明確か | 企画管理編 15章 |
| SLA(サービスレベル合意) | 可用性(稼働率)、レスポンスタイム、障害時の復旧目標時間(RTO)等が明記されているか | 企画管理編 13章 |
| 暗号化対応 | 通信経路および保存データの暗号化方式・鍵管理方法 | システム運用編 |
| アクセスログの提供 | 事業者側のアクセスログを医療機関に提供する体制があるか | システム運用編 |
| 委託先の再委託管理 | 事業者が再委託を行う場合の管理体制・通知義務 | 企画管理編 13章 |
ISMAPとの関係
ISMAP(政府情報システムのためのセキュリティ評価制度) は、政府がクラウドサービスのセキュリティを評価・登録する制度である。医療分野においても、ISMAPへの登録は事業者の安全管理体制の信頼性を示す重要な指標となる。
| 項目 | ISMAP | ISMAP-LIU |
|---|---|---|
| 正式名称 | Information system Security Management and Assessment Program | ISMAP for Low-Impact Use |
| 対象 | 政府機関が利用するクラウドサービス全般 | リスクの小さな業務・情報を扱うクラウドサービス |
| 評価基準 | 約1,300の管理策を網羅的に評価 | 簡易な評価基準 |
| 医療分野との関係 | 3省2ガイドラインで事業者選定の参考として言及 | 直接の言及は限定的 |
| 登録リスト | ISMAP公式サイトで公開 | ISMAP公式サイトで公開 |
実務上の注意: ISMAPへの登録は医療情報を取り扱うクラウドサービスの必須要件ではないが、事業者選定における安全管理体制の客観的な評価指標として活用できる。ガイドラインでは「第三者認証の取得状況を確認する」ことを求めており、ISMAPの登録状況はその重要な一要素である。
サイバーセキュリティ対策と法的義務
医療法施行規則改正(2023年4月)によるサイバーセキュリティ確保の義務化
2022年の医療法施行規則改正(令和5年4月1日施行)により、全ての病院、診療所、助産所に対してサイバーセキュリティ確保のための措置が義務化された。なお、令和8年度診療報酬改定では、本ガイドラインへの準拠が電子的診療情報連携体制整備加算の施設基準要件として明確に位置づけられており、診療報酬上のインセンティブとも直結している。
根拠条文: 医療法施行規則(昭和23年厚生省令第50号)第14条第2項
「病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティ(サイバーセキュリティ基本法(平成26年法律第104号)第2条に規定するサイバーセキュリティをいう。)を確保するために必要な措置を講じなければならない。」
この義務化により、サイバーセキュリティ対策は医療機関にとって「努力義務」から 「法的義務」 に格上げされた。医療法第25条第1項に基づく立入検査においても、サイバーセキュリティ対策の実施状況が確認の対象となる。
サイバーセキュリティ対策の必須項目
ガイドライン第6.0版および厚生労働省の通知に基づき、医療機関が講じるべきサイバーセキュリティ対策の必須項目を以下に整理する。
| 対策項目 | 具体的内容 | 優先度 |
|---|---|---|
| 医療情報システムの全体構成の把握 | ネットワーク構成図の作成・更新、接続機器の台帳管理 | 必須(最優先) |
| バックアップの実施 | 診療データの定期的なバックアップ。ネットワークから切り離したオフラインバックアップを含む | 必須(最優先) |
| 不正ソフトウェア対策 | ウイルス対策ソフトの導入・更新、不審なメール・添付ファイルへの対処 | 必須 |
| アクセス制御の実施 | 利用者ごとのID管理、不要なアカウントの削除、パスワードポリシーの適用 | 必須 |
| ネットワークの脆弱性対策 | VPN装置やファイアウォール等のファームウェア更新、不要なポートの閉鎖 | 必須 |
| インシデント対応計画の策定 | セキュリティインシデント発生時の初動対応手順、連絡体制の整備 | 必須 |
| BCP(事業継続計画)の策定 | システム障害・サイバー攻撃発生時の診療継続計画 | 必須 |
| 関係機関への報告体制 | 厚生労働省、所管自治体、警察等への報告手順の整備 | 必須 |
| ペネトレーションテスト | 外部からの侵入テストによる脆弱性の検出 | 推奨 |
| SOC/CSIRT体制の構築 | セキュリティ監視センター(SOC)またはインシデント対応チーム(CSIRT)の設置・外部委託 | 推奨(大規模施設は必須) |
近年の医療機関へのサイバー攻撃事例と教訓
近年、日本国内の医療機関がランサムウェア攻撃を受け、診療業務に深刻な影響が生じた事例が相次いでいる。
| 時期 | 対象施設 | 攻撃の種類 | 被害・影響 | 復旧までの期間 |
|---|---|---|---|---|
| 2021年10月 | 徳島県の病院 | ランサムウェア(LockBit) | 電子カルテが暗号化、約2か月間の紙カルテ運用 | 約2か月 |
| 2022年10月 | 大阪府の医療センター | ランサムウェア(Phobos系) | 電子カルテ停止、緊急以外の診療を制限 | 約2か月 |
| 2023年以降 | 複数の中小病院・診療所 | ランサムウェア、VPN脆弱性の悪用 | データ暗号化、診療業務の停止 | 数週間〜数か月 |
教訓: 上記の事例に共通するのは、VPN装置の脆弱性が放置されていた、オフラインバックアップが不十分であった、インシデント対応計画が未策定であった という点である。ガイドライン第6.0版がこれらの対策を最優先事項として位置づけた背景には、こうした実例がある。
BCP(事業継続計画)の策定要件
サイバー攻撃や大規模システム障害発生時に診療を継続するためのBCP策定が、ガイドライン第6.0版で強く求められている。
| BCP策定項目 | 内容 | 具体例 |
|---|---|---|
| リスクシナリオの想定 | 想定すべき脅威の特定 | ランサムウェア感染、大規模災害、長期停電、通信回線途絶 |
| RTO(目標復旧時間)の設定 | システムごとの復旧優先度と目標時間 | 電子カルテ: 24時間以内、医事会計: 48時間以内 等 |
| RPO(目標復旧時点)の設定 | 許容できるデータ損失の範囲 | 電子カルテ: 最大1時間前のデータまで復旧可能 等 |
| 代替手段の整備 | システム停止時の紙運用手順 | 紙カルテ・紙伝票の様式準備、手書き処方箋の発行手順 |
| バックアップ方針 | オンライン・オフライン双方のバックアップ計画 | 日次バックアップ+オフライン媒体での週次バックアップ |
| 訓練の実施 | BCP発動を想定した訓練 | 年1回以上のサイバー攻撃対応訓練の実施 |
| 連絡体制 | 内部・外部の連絡先一覧と連絡手順 | 厚生労働省、保健所、警察、システムベンダー |
経産省・総務省ガイドラインとリスクマネジメント
事業者向けガイドラインの概要
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(第2.0版、令和7年3月改定)は、医療機関にシステム・サービスを提供する事業者が遵守すべきリスクマネジメントの枠組みを定めている。第2.0版では、サイバー攻撃の多様化・巧妙化を踏まえ、対象事業者の範囲の明確化、医療機関等と事業者間の取決め内容の明確化、リスクコミュニケーションの実効性向上が図られた。
| 章 | タイトル | 主な内容 |
|---|---|---|
| 第1章 | はじめに | ガイドラインの目的・適用範囲 |
| 第2章 | 本ガイドラインの対象 | 対象となる事業者・サービスの範囲の定義 |
| 第3章 | 本ガイドラインの読み方 | リスクマネジメントプロセスとの対応関係 |
| 第4章 | リスクマネジメント | リスクアセスメントの方法論、リスク対応の考え方 |
| 第5章 | 安全管理のためのリスクマネジメントプロセス | 具体的なリスク特定・分析・評価・対応の手順 |
| 第6章 | 制度上の要求事項 | 個人情報保護法等の法令遵守に関する要求事項 |
| 別冊 | サービス仕様適合開示書 | 事業者が医療機関に対して開示すべき情報の様式 |
リスクマネジメントプロセスの全体像
事業者向けガイドラインが求めるリスクマネジメントプロセスは、ISO 31000(リスクマネジメントの国際規格)をベースとしている。
| プロセス | 内容 | 成果物 |
|---|---|---|
| ①リスク特定 | 医療情報を取り扱う業務・サービスにおけるリスク要因の洗い出し | リスク一覧表 |
| ②リスク分析 | 特定されたリスクの発生可能性と影響度の評価 | リスク分析シート |
| ③リスク評価 | リスクの優先順位づけ、受容可否の判定 | リスク評価マトリクス |
| ④リスク対応 | リスクに対する対策の選択(回避、低減、移転、受容) | リスク対応計画 |
| ⑤モニタリング・レビュー | 対策の有効性評価、環境変化に応じた見直し | 定期レビュー報告書 |
| ⑥コミュニケーション | 医療機関への情報開示、リスク情報の共有 | サービス仕様適合開示書 |
サービス仕様適合開示書の意義
経産省・総務省ガイドラインの特徴的な仕組みとして、サービス仕様適合開示書 がある。これは、事業者が自社サービスのセキュリティ対策状況をガイドラインの各項目に対応させて開示する文書である。
| 開示項目の例 | 内容 |
|---|---|
| 組織的対策 | 情報セキュリティマネジメント体制、責任者の設置状況 |
| 物理的対策 | データセンターの物理セキュリティ、入退室管理 |
| 技術的対策 | 暗号化方式、アクセス制御方式、脆弱性管理 |
| 人的対策 | 従業者教育、守秘義務契約 |
| データ管理 | データの保存場所、バックアップ方式、データ削除手順 |
| インシデント対応 | 検知・通知・対応の手順、報告体制 |
| SLA | 可用性、性能、復旧目標 |
実務上のポイント: 医療機関は、クラウドサービス事業者やシステムベンダーに対してサービス仕様適合開示書の提出を求めることにより、ガイドラインへの準拠状況を体系的に確認できる。これは事業者選定時の比較評価にも有用である。
【実務ポイント】 経産省・総務省ガイドライン第2.0版で事業者が医療機関に「サービス仕様適合開示書」を提供する仕組みが整備済み。委託先の電子カルテベンダーやクラウドサービス事業者に年1回適合開示書の更新版を提出させ、自院の安全管理規程との整合性を確認することが推奨。ひな形はガイドライン別冊に掲載。
ガイドライン対応の実務チェックリスト
認証・認定制度の比較
ガイドライン対応の一環として、第三者認証の取得を検討する医療機関・事業者が増えている。主要な認証・認定制度の比較は以下のとおりである。
| 認証・認定制度 | 運営主体 | 対象 | 主な評価項目 | 医療分野との関係 |
|---|---|---|---|---|
| ISMS(ISO/IEC 27001) | ISO/各認定機関 | あらゆる組織 | 情報セキュリティマネジメントシステム全般 | ガイドラインで取得を推奨 |
| プライバシーマーク(Pマーク) | JIPDEC | 日本国内の事業者 | 個人情報保護マネジメントシステム(JIS Q 15001) | 個人情報保護の観点で有効だが、技術的対策の評価は限定的 |
| ISMAP | 内閣官房NISC等 | クラウドサービス事業者 | 政府が求めるセキュリティ基準 | 事業者選定の客観指標として有効 |
| ISMS-PIMS(ISO/IEC 27701) | ISO/各認定機関 | あらゆる組織 | プライバシー情報マネジメントシステム | ISMS+プライバシー管理の統合的評価 |
| SOC2報告書 | 各監査法人 | サービス提供事業者 | セキュリティ、可用性、処理のインテグリティ等 | グローバルなクラウド事業者が取得するケースが多い |
| JAHIS標準 | 保健医療福祉情報システム工業会 | 医療情報システムベンダー | 医療情報の交換・共有に関する標準規格 | 医療システムの相互運用性に直接関係 |
医療情報の分類と取扱いレベル
ガイドラインでは、取り扱う情報の機微性に応じた管理レベルの設定を求めている。
| 情報分類 | 具体例 | 機微性レベル | 必要な管理措置の例 |
|---|---|---|---|
| 要配慮個人情報(医療情報) | 診療録、検査結果、処方情報、画像データ | 最高 | アクセス制御(最小権限)、暗号化、操作ログ記録、二要素認証 |
| 患者の識別情報 | 氏名、生年月日、住所、保険者番号 | 高 | アクセス制御、暗号化、取扱者の限定 |
| 医療機関の運営情報 | 経営データ、職員情報、契約情報 | 中 | アクセス制御、取扱規程の整備 |
| 公開情報 | 診療時間、所在地、施設基準の届出情報 | 低 | 改ざん防止措置 |
ガイドライン対応の5ステップ
医療機関がガイドライン対応を進める際の実務的なステップを以下に示す。
[STEP1] 現状把握
↓ 情報資産の洗い出し、システム構成の把握、現行の安全管理措置の棚卸し
[STEP2] ギャップ分析
↓ ガイドラインの要求事項と現状との差異を特定
[STEP3] 対応計画の策定
↓ 優先順位の決定、スケジュール・予算・体制の計画
[STEP4] 措置の実施
↓ 技術的対策の導入、規程の整備、教育研修の実施
[STEP5] 監査・継続的改善
↓ 内部監査の実施、改善措置のフォロー、定期的な見直し
| ステップ | 主な作業内容 | 担当者 | 期間の目安 |
|---|---|---|---|
| STEP1: 現状把握 | 情報資産台帳の作成、ネットワーク構成図の更新、既存規程の収集 | システム管理者、企画管理者 | 1〜2か月 |
| STEP2: ギャップ分析 | ガイドラインのチェックシートに基づく自己点検、不足項目の洗い出し | 企画管理者、外部コンサルタント | 1〜2か月 |
| STEP3: 対応計画の策定 | 対応ロードマップの作成、必要な投資額の算定、経営層への報告・承認取得 | 企画管理者、経営層 | 1か月 |
| STEP4: 措置の実施 | 技術的対策の導入(VPN更新、バックアップ整備等)、規程類の策定・改定、全職員への教育研修 | システム管理者、各部門長 | 3〜6か月 |
| STEP5: 監査・継続的改善 | 内部監査の実施、監査結果に基づく是正、次年度計画への反映 | 内部監査担当、経営層 | 継続的 |
実務上のアドバイス: 中小規模の医療機関では、全てのガイドライン要求事項に一度に対応することは困難な場合が多い。まずはSTEP1の現状把握と、サイバーセキュリティ対策の最優先事項(バックアップ、VPN脆弱性対策、インシデント対応計画)から着手し、段階的に対応範囲を拡大することが現実的である。
MDS/SDS(医療情報セキュリティ開示書)の標準規格認定
2025年1月、JAHIS(保健医療福祉情報システム工業会)が策定する「製造業者/サービス事業者による医療情報セキュリティ開示書」(MDS/SDS)が、厚生労働省標準規格として認定された。MDS/SDSは、医療情報システムの提供事業者が自社製品・サービスのセキュリティ対策状況を医療機関に開示するための標準的な様式であり、現行バージョンはVer.5.0である。
経産省・総務省ガイドライン第2.0版においても、事業者から医療機関への情報開示手段としてMDS/SDSの活用が明記されており、サービス仕様適合開示書と併せて、事業者選定の重要な判断材料となる。
実務上のポイント: 医療機関は、システム導入・更新時にベンダーに対してMDS/SDS(Ver.5.0)の提出を求め、ガイドラインの各項目への対応状況を確認することが推奨される。厚生労働省標準規格となったことで、今後、提出を求める医療機関がさらに増加すると見込まれる。
令和7年度版サイバーセキュリティ対策チェックリストの主な追加項目
厚生労働省は、令和7年度版として「医療機関等におけるサイバーセキュリティ対策チェックリスト」を改訂し、以下の項目が新たに追加・強化された。
| 追加項目 | 内容 | 背景 |
|---|---|---|
| パスワード管理の強化 | 端末PC・サーバ・ネットワーク機器のパスワードについて、桁数の規定および使い回しの禁止を明記 | 推測しやすいパスワードがサイバー攻撃の起点となる事例が多発 |
| USBストレージ等の接続制限 | USBメモリ等の外部接続機器に対する接続制限の実施 | 持ち出し先での紛失・盗難、マルウェア感染混入の防止 |
| 二要素認証の実装準備 | 令和9年度の実装に向けた対応計画の策定 | 不正アクセス防止の強化 |
| 運用管理規程等の整備 | セキュリティに関する運用管理規程の整備状況の確認 | 組織的な安全管理体制の確保 |
注意: 令和7年度版チェックリストは立入検査における確認対象となるため、全ての医療機関において上記項目への対応状況を点検し、不足があれば速やかに対策を講じる必要がある。
今すぐやること:3省2ガイドライン対応チェックリスト
最優先:今月中に対応
- ネットワーク構成図の作成・更新(情報システム部門/外部ベンダー):接続機器の台帳(メーカー・型番・ファームウェアバージョン・IPアドレス)を整備し、VPN装置・ルーター等のファームウェアが最新か確認する
- オフラインバックアップの確保(情報システム部門):電子カルテデータのバックアップが物理的にネットワークから切り離された媒体(LTOテープ・外付けHDD等)に保存されているか確認。未実施の場合は直ちに導入する
- インシデント対応計画の策定・見直し(安全管理責任者):サイバー攻撃発生時の初動対応手順、連絡先一覧(厚労省・保健所・警察・ベンダー)を文書化する
重要:3か月以内に
- 経営管理編の経営層への共有(安全管理責任者):厚労省ガイドライン第6.0版「経営管理編」(約20ページ)を院長・理事長に読んでもらい、安全管理に関する経営層の責任を認識してもらう
- サービス仕様適合開示書の取得(企画管理者):電子カルテベンダー・クラウドサービス事業者に経産省・総務省ガイドライン第2.0版に基づくサービス仕様適合開示書の提出を依頼する
- 全職員向けセキュリティ研修の実施(人事・総務部門):フィッシングメール対応、パスワード管理、USB機器の取扱いを含む基礎研修を年1回以上実施する
中期:年度内に完了
- BCP(事業継続計画)のサイバー攻撃版策定(経営層・安全管理責任者):ランサムウェア被害を想定した紙カルテ運用手順、RTO・RPOの設定、訓練計画を策定する
- ギャップ分析と対応ロードマップの作成(企画管理者・外部コンサルタント):ガイドラインのチェックシートに基づく自己点検を実施し、未対応項目の洗い出しと対応計画を策定する
よくある質問(FAQ)
: ガイドライン自体は法律ではなく、直接の罰則規定はない。しかし、医療法第6条の12および医療法施行規則第14条第2項に基づくサイバーセキュリティ確保義務の具体的な判断基準として機能するものであり、実質的に医療機関が遵守すべき規範となっている。また、個人情報の保護に関する法律(平成15年法律第57号)第23条が求める安全管理措置の具体的な基準としても参照される。万一、医療情報の漏えい等が発生した場合、ガイドラインへの準拠状況が過失の有無を判断する重要な考慮要素となり得るため、事実上の遵守義務があると理解すべきである。
: 必要である。医療法施行規則第14条第2項のサイバーセキュリティ確保義務は、病院の規模によらず全ての病院・診療所・助産所に適用される。ただし、ガイドラインは医療機関の規模や特性に応じた段階的な対応を想定しており、小規模な診療所が大規模病院と同等の対策を講じることまでは求めていない。まずはバックアップの確実な実施、VPN装置等のネットワーク機器のファームウェア更新、職員への基本的なセキュリティ教育から始め、段階的に対策を拡充することが推奨される。厚生労働省は小規模医療機関向けのサイバーセキュリティ対策チェックリストを公表しており、これを活用するのが効率的である。
: ガイドラインは医療情報の保存場所について「国内法の適用が及ぶ場所」での保存を原則としている。海外のデータセンターに保存する場合、当該国の法制度により日本の法律が及ばず、データへのアクセス制限や差押え等のリスクが生じる可能性がある。特に、個人情報の保護に関する法律(令和2年改正)における外国にある第三者への提供規制(第28条)との関係で、患者本人の同意取得や基準適合体制の整備が必要となる場合がある。実務上は、国内にデータセンターを有するクラウドサービスを選定することが最も確実な対応である。
: サイバーセキュリティインシデントが発生した場合の報告先は以下のとおりである。①厚生労働省医政局(医療機関向けサイバーセキュリティ対策の窓口)、②所管の都道府県(医療法に基づく報告)、③警察(不正アクセス行為の禁止等に関する法律に基づく被害届の提出)、④個人情報保護委員会(個人情報の漏えい等が発生した場合、個人情報保護法第26条に基づく報告義務)。また、厚生労働省が設置する医療機関向けサイバーセキュリティ相談窓口への連絡も推奨される。インシデント対応計画において、これらの報告先の連絡先と報告手順を事前に整理しておくことが重要である。
: サービス仕様適合開示書の提出は法的義務ではなく、ガイドラインにおける推奨事項である。しかし、医療機関が事業者を選定する際に、ガイドラインへの準拠状況を客観的に確認するための重要なツールとなる。実務上は、契約交渉の段階でサービス仕様適合開示書の提出を求め、その内容を評価した上で事業者を選定することが望ましい。開示書の提出に応じない事業者については、安全管理体制の透明性に疑義があるものとして慎重に判断すべきである。なお、厚生労働省の「医療機関におけるサイバーセキュリティ対策チェックリスト」においても、委託先の安全管理対策の確認が求められている。
: オンライン診療を実施する場合、3省2ガイドラインに加え、厚生労働省「オンライン診療の適切な実施に関する指針」(令和5年3月一部改訂)を遵守する必要がある。同指針では、オンライン診療に使用する情報通信機器のセキュリティ要件(通信の暗号化、本人確認、なりすまし防止等)が定められている。また、医師法第20条の解釈(対面診療との関係)、療養担当規則に基づく診療報酬上の要件、医薬品医療機器等法に基づくプログラム医療機器の該当性等、複数の法令・指針を横断的に確認する必要がある。
: 医療機関のサイバーセキュリティ対策に関連する主な支援制度として、以下のものがある。①厚生労働省の「医療施設等設備整備費補助金」(IT基盤整備に係る補助)、②各都道府県の地域医療介護総合確保基金を活用した支援事業、③独立行政法人情報処理推進機構(IPA)によるセキュリティ対策の技術的支援。補助金の公募状況や対象要件は年度ごとに異なるため、厚生労働省および所管の都道府県のホームページを定期的に確認されたい。また、日本医師会や各地域の医師会が主催するサイバーセキュリティ研修会も活用可能である。
2026年3月の最新動向
令和8年度診療報酬改定とガイドライン対応の連動
2026年3月5日に公布された令和8年度診療報酬改定の告示において、電子的診療情報連携体制整備加算の施設基準が正式に確定した。本加算の算定要件には3省2ガイドラインへの準拠が明記されており、6月1日施行を前に以下の対応が急務となっている。
| 加算名 | ガイドライン対応の要件内容 |
|---|---|
| 電子的診療情報連携体制整備加算 | 厚労省ガイドライン第6.0版に準拠した安全管理体制の構築(経営管理編・企画管理編・システム運用編への対応を文書で確認できること) |
| ベースアップ評価料の拡充 | 直接の関係はないが、職員の研修記録(人的安全管理措置)として兼用可能 |
二要素認証の2027年度実装に向けた準備
厚労省ガイドライン第6.0版システム運用編は、2027年度時点で稼働している医療情報システムへの二要素認証の実装を求めている。また、令和7年度版サイバーセキュリティ対策チェックリスト(2025年5月統合改定版)で対応計画の策定が義務付けられた。
2026年度中の対応が必要な事項
| 項目 | 対応内容 | 期限の目安 |
|---|---|---|
| 二要素認証の対応計画策定 | 対象システムの洗い出し・導入スケジュールの策定 | 2026年度中 |
| チェックリストマニュアルへの対応 | 令和7年度版(医療機関・薬局・事業者共通統合版)に基づく自己点検の実施 | 随時(立入検査対象) |
| サービス仕様適合開示書の更新版取得 | 電子カルテベンダー・クラウドサービス事業者から経産省・総務省ガイドライン第2.0版対応の最新版を取得 | 2026年上半期 |
まとめ
3省2ガイドラインへの対応は、医療機関の経営層から現場のシステム運用担当者まで、組織全体で取り組むべき課題である。特に以下の3点は、全ての医療機関が直ちに対応すべき最優先事項として認識されたい。
- サイバーセキュリティ対策の最低限の実施: オフラインバックアップの確保、ネットワーク機器の脆弱性対策、インシデント対応計画の策定は、医療法施行規則に基づく法的義務の履行として不可欠である
- 責任体制の明確化: 安全管理に関する責任者の設置と、経営層が主体的に関与する体制の構築が、ガイドライン第6.0版の経営管理編で強く求められている
- 外部委託・クラウド利用の適切な管理: 事業者選定時のサービス仕様適合開示書の確認、SLAの締結、責任分界の明確化を通じ、委託先を含めた安全管理体制を確保する
参考法令・出典一覧
| 法令・資料名 | URL |
|---|---|
| 医療情報システムの安全管理に関するガイドライン 第6.0版(厚生労働省) | 厚生労働省 |
| 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版(経済産業省・総務省、令和7年3月) | 経済産業省 |
| 個人情報の保護に関する法律(平成15年法律第57号) | e-Gov法令検索 |
| 医療法(昭和23年法律第205号) | e-Gov法令検索 |
| 医療法施行規則(昭和23年厚生省令第50号) | e-Gov法令検索 |
| e-文書法(民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律) | e-Gov法令検索 |
| 不正アクセス行為の禁止等に関する法律 | e-Gov法令検索 |
| サイバーセキュリティ基本法(平成26年法律第104号) | e-Gov法令検索 |
| オンライン診療の適切な実施に関する指針(厚生労働省) | 厚生労働省 |
| ISMAP(政府情報システムのためのセキュリティ評価制度) | ISMAP公式 |
| 医療機関におけるサイバーセキュリティ対策チェックリスト(厚生労働省) | 厚生労働省 |
免責事項: 本記事は2026年2月時点の法令・ガイドラインに基づき、一般的な情報提供を目的として作成したものである。各ガイドラインの解釈や具体的な対応方法は、医療機関の規模・特性・システム構成により異なるため、個別の判断にあたっては所管省庁の最新の通知やガイドラインの原文を必ず確認されたい。本記事の内容に基づく判断・行動により生じたいかなる損害についても、筆者は責任を負わない。具体的な法的判断が必要な場合は、医療情報セキュリティに精通した専門家への相談を推奨する。