必要である。
C．最低限のガイドライン
1. 医療サービスを提供し続けるための BCP の一環として、
“非常時”と判断するための基
準、手順、判断者等及び正常復帰時の手順をあらかじめ定めておくこと。
2. 非常時における対応に関する教育及び訓練を従業者に対して行うこと。なお、医療情報
システムの障害時の対応についても同様に行うこと。
3. 正常復帰後に、代替手段で運用した間のデータ整合性を図るための規約を用意するこ
と。
4. 非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
(1)

「非常時のユーザアカウントや非常時用機能」の管理手順を整備すること。

(2)

非常時機能が定常時に不適切に利用されることがないようにするとともに、もし
使用された場合に使用されたことが検知できるよう、適切に管理及び監査するこ
と。

(3)

非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができない
ように変更すること。

(4)

医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先への連絡
手段や紙での運用等の代替手段を準備すること。

(5)

重要なファイルは数世代バックアップを複数の方式で取得し、その一部は不正ソ
フトウェアの混入による影響が波及しない手段で管理するとともに、バックアッ
プからの重要なファイルの復元手順を整備すること。

5. 不正ソフトウェアの混入などによるサイバー攻撃を受けた（疑い含む）場合や、サイ
バー攻撃により障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそ
のおそれがある事案であると判断された場合には、「医療機関等におけるサイバーセ
キュリティ対策の強化について」（医政総発 1029 第１号 医政地発 1029 第３号 医
政研発 1029 第１号 平成 30 年 10 月 29 日）に基づき、所管官庁への連絡等、必要な
対応を行うほか、そのための体制を整備すること。また上記に関わらず、医療情報シス
テムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
厚生労働省連絡先
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/c
yber-security.html
※ 独立行政法人等においては、各法人の情報セキュリティポリシー等に基づき所管課
へ連絡すること。
なお、情報処理推進機構は、不正ソフトウェアや不正アクセスに関する技術的な相談を
受け付ける窓口を開設している。標的型メールを受信した、Web サイトが何者かに改ざ

40