（ 参 考 ）医 療 機 関 等 に お い て 改 め て ご 確 認 い た だ き た い 事 項

AI によるサイバー攻撃に関する情報共有と
医療機関等におけるサイバーセキュリティ
対策に関する厚生労働省との意見交換
（令和８年５月22日）資料３

「医療機関におけるサイバーセキュリティ対策チェックリスト」を用いて
皆様の医療機関等におけるサイバーセキュリティの取組をご確認ください。

経営層の関与と意思決定体制の確立

リスク管理・脆弱性対策・ランサムウェア対策

経営層の主体的関与
サイバーセキュリティは経営課題。経営層の積極的関与が不可欠

リスク管理の重要性
医療情報システム全体を把握し、資産ごとのリスク評価を行う

ガバナンス体制の確立
ガバナンス体制を構築し、方針や資源配分を明確化

多層的な防御策
ネットワーク分離、多要素認証、アクセス制御などの段階的防御で侵
入と拡大を防ぐ

責任者の任命と役割定義
責任者を明確化→権限と責任範囲を定め→迅速な意思決定

脆弱性発見と更新管理
脆弱性の早期発見と迅速なセキュリティパッチ適用が不可欠

意思決定フローと訓練
インシデント時の連絡系統や意思決定フロー整備→机上訓練

ランサムウェア対策
オフラインバックアップや復旧訓練、不審メール対策→被害を最小化

インシデント対応体制と教育・訓練

サプライチェーン対策とBCPの確保

初動対応手順の明確化（インシデント対応の基本）
感染端末の隔離や影響範囲の迅速な確認

サプライチェーン全体の連携
医療機器メーカーやシステムベンダーと連携し、脆弱性やイン
シデント情報を共有する体制の構築

報告・連携体制の整備
厚生労働省や関係機関への連絡先を事前に確認
事後対応と再発防止
原因分析と継続的な技術・運用・組織改善→再発防止
教育・訓練の重要性
全職員対象の定期的な教育やフィッシング訓練で対応力を強化

調達段階のセキュリティ要件
調達時にセキュリティ要件を契約条件として明確化→リスクを
未然に抑制
事業継続計画（BCP）の策定と代替手段準備
サイバー攻撃を想定したBCPを策定→紙運用等代替手段用意
訓練と継続的改善
「サイバー攻撃を想定したBCP策定のための確認表」を用いて
BCPを策定→定期的な訓練で実行性を検証、改善

13