よむ、つかう、まなぶ。
【参考資料2-2】令和8年度版医療機関等におけるサイバーセキュリティ対策チェックリスト案 (見え消し) (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
令和8年度
事業者確認用
医療機関等におけるサイバーセキュリティ対策チェックリスト
* 以下項目は令和8年度中にすべての項目で「はい」または「対象外」にマルが付くよう取り組んでください。
・「はい」:医療機関等との保守契約範囲に含まれる項目であり、事業者側の責任で対応できていることを指します。
・「いいえ」:医療機関等との保守契約範囲に含まれる項目であるが、事業者側が対応できていない項目となります。
事業者としての令和8年度中の対応目標日を記入してください。
・「対象外」:医療機関等との保守契約範囲外となり、当該項目の責任を医療機関等が負います。
医療機関等に対して、責任分界の認識齟齬がないか、事業者側から必ず確認して下さい。
(日付)
確認日
目標日
チェック項目
1
体制構築
①事業者内に、医療情報システム等の提供に係る管理責任者を設置し
ている。
備考
はい・いいえ
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
医療情報システム全般について、以下を実施している。
②リモートメンテナンス(保守)している機器の有無を医療機関等に
伝えた。
はい・いいえ
(
③医療機関に製造業者/サービス事業者による医療情報セキュリティ開
)
示書(MDS/SDS)を提出した。
(
④利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定
はい・いいえ・対象外
している。※管理者権限対象者の明確化を行っている。
(
⑤退職者や使用していないアカウント等、不要なアカウントを削除ま
はい・いいえ・対象外
たは無効化している。
(
⑥セキュリティパッチ(最新ファームウェアや更新プログラム)を適
はい・いいえ・対象外
用している。
(
⑦パスワードは英数字の混在した8桁以上としている。※二要素認証
を採用するまでの期間は13桁以上としている。
2
/
はい・いいえ
/
/
/
/
)
)
)
)
はい・いいえ
(
/
)
はい・いいえ
⑧パスワードの使い回しを禁止している。
(
/
)
医療情報シス ⑨USBストレージ等の外部接続機器や情報機器に対して接続を制限し はい・いいえ・対象外
テムの管理・ ている。
運用
(
/
)
⑩バックグラウンドで動作している不要なソフトウェア及びサービス
はい・いいえ・対象外
を停止している。
(
二要素認証を実装している。または令和9年度までに実装予定であ
る。
/
)
はい・いいえ
(
/
)
端末PCについて、以下を実施している。
⑪アプリケーションログイン時の二要素認証を実装している。または
令和9年度以降初回のシステム更改時に実装予定である。
はい・いいえ
(
/
)
サーバについて、以下を実施している。
⑫OSログイン時の二要素認証を実装している。または令和9年度以降
初回のシステム更改時に実装予定である。
はい・いいえ
(
/
)
はい・いいえ・対象外
⑬アクセスログを管理している。
(
/
)
ネットワーク機器について、以下を実施している。
はい・いいえ・対象外
⑭接続元制限を実施している。
(
3
インシデント発 ③サイバー攻撃の想定を含む事業継続計画(BCP)を策定している。
生に備えた対応
/
)
はい・いいえ
(
/
)
事業者名:
● 各項目の考え方や確認方法等については、「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関・事業者向け~」をご覧ください。
●
各チェック項目に記載された番号はチェックリストマニュアルのアウトラインに対応しています。
事業者確認用
医療機関等におけるサイバーセキュリティ対策チェックリスト
* 以下項目は令和8年度中にすべての項目で「はい」または「対象外」にマルが付くよう取り組んでください。
・「はい」:医療機関等との保守契約範囲に含まれる項目であり、事業者側の責任で対応できていることを指します。
・「いいえ」:医療機関等との保守契約範囲に含まれる項目であるが、事業者側が対応できていない項目となります。
事業者としての令和8年度中の対応目標日を記入してください。
・「対象外」:医療機関等との保守契約範囲外となり、当該項目の責任を医療機関等が負います。
医療機関等に対して、責任分界の認識齟齬がないか、事業者側から必ず確認して下さい。
(日付)
確認日
目標日
チェック項目
1
体制構築
①事業者内に、医療情報システム等の提供に係る管理責任者を設置し
ている。
備考
はい・いいえ
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
(
/
)
医療情報システム全般について、以下を実施している。
②リモートメンテナンス(保守)している機器の有無を医療機関等に
伝えた。
はい・いいえ
(
③医療機関に製造業者/サービス事業者による医療情報セキュリティ開
)
示書(MDS/SDS)を提出した。
(
④利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定
はい・いいえ・対象外
している。※管理者権限対象者の明確化を行っている。
(
⑤退職者や使用していないアカウント等、不要なアカウントを削除ま
はい・いいえ・対象外
たは無効化している。
(
⑥セキュリティパッチ(最新ファームウェアや更新プログラム)を適
はい・いいえ・対象外
用している。
(
⑦パスワードは英数字の混在した8桁以上としている。※二要素認証
を採用するまでの期間は13桁以上としている。
2
/
はい・いいえ
/
/
/
/
)
)
)
)
はい・いいえ
(
/
)
はい・いいえ
⑧パスワードの使い回しを禁止している。
(
/
)
医療情報シス ⑨USBストレージ等の外部接続機器や情報機器に対して接続を制限し はい・いいえ・対象外
テムの管理・ ている。
運用
(
/
)
⑩バックグラウンドで動作している不要なソフトウェア及びサービス
はい・いいえ・対象外
を停止している。
(
二要素認証を実装している。または令和9年度までに実装予定であ
る。
/
)
はい・いいえ
(
/
)
端末PCについて、以下を実施している。
⑪アプリケーションログイン時の二要素認証を実装している。または
令和9年度以降初回のシステム更改時に実装予定である。
はい・いいえ
(
/
)
サーバについて、以下を実施している。
⑫OSログイン時の二要素認証を実装している。または令和9年度以降
初回のシステム更改時に実装予定である。
はい・いいえ
(
/
)
はい・いいえ・対象外
⑬アクセスログを管理している。
(
/
)
ネットワーク機器について、以下を実施している。
はい・いいえ・対象外
⑭接続元制限を実施している。
(
3
インシデント発 ③サイバー攻撃の想定を含む事業継続計画(BCP)を策定している。
生に備えた対応
/
)
はい・いいえ
(
/
)
事業者名:
● 各項目の考え方や確認方法等については、「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関・事業者向け~」をご覧ください。
●
各チェック項目に記載された番号はチェックリストマニュアルのアウトラインに対応しています。