組織としての対応計画を整備す得ること必要がある。
➢

対応計画の具体的な内容の検討に際しては、経済産業省及び独立行政法人情報処理推進機構において策
定している「サイバーセキュリティ経営ガイドライン」などが参考となる。

１２．２ サイバーセキュリティ対応計画の実践
➢

サイバーセキュリティ対応計画には、通常時と攻撃を受けた際の非常時における対策のいずれをも含んだものとす
る必要がある。通常時のに適切な対策について適切にを実施することで、攻撃に備えるとともに、非常時にのおけ
る対策として対応計画に盛り込んだ対策事項が実際に攻撃を受けた際に想定通りに機能するかどうかをあらかじ
め確認・検証することが重要である。そのため、企画管理者は、担当者と協働して、定期的にサイバー攻撃等のサ
イバーセキュリティに関する非常時対応が発生したことを想定した訓練や機能テストなどを行う必要があること。また、
訓練の結果得られた課題等については、サイバーセキュリティ対応計画等に反映することが求められる。

➢

また、サイバー攻撃に関しては、あらかじめ対応することが可能であったにもかかわらず、情報機器等の脆弱性や利
用者の過失等を対象として攻撃を受け、が起点となって被害が生じている事象もみられることからている。、通常
時における情報収集や点検、未然防止策を検討するの検討を行うためのシステム関連事業者も含めた協働体
制づくりが重要である。

➢

また、サイバー攻撃は日々巧妙化、多様化、高度化することから、サイバーセキュリティ対応計画等については、少
なくとも年１回以上の頻度で見直しを図ることが重要である。

１２．３ サイバー攻撃被害時の対応
➢

サイバー攻撃を受けた際には、あらかじめ策定した対応計画等に従って対応することとなる。場合によっては、医療
機関等独自の対応では対処しきれない事案も想定されるため、そのような場合に。所管官庁への迅速な連絡や
情報共有を行うことができるよう、通常時から連絡先や連絡手順、連絡体制を整備しておく必要があること。

➢

非常時は、また、被害拡大を防止する観点から、医療機関等内の職員や契約事業者やシステム関連事業者だ
けではなく、、非常時対応として一時臨時的に医療情報システムに接続する関係者に対しても、速やかに連絡・
情報共有が可能なする体制を講じることも重要である。

- 46 -