よむ、つかう、まなぶ。
【資料1】医療機関におけるサイバーセキュリティ対策の徹底について (10 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_25929.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第 11回 5/27)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
令和4年度の医療法第25条第1項の規定に基づく立入検査の実施について(抜粋)
カ.医療機関におけるサイバー攻撃への対策について、医療機関の情報システムがランサムウェアに感染すると、保有する情報資産
(データ等)が暗号化され、電子カルテシステムが利用できずに診療に支障が生じたり、患者の個人情報が窃取されたりする等の
甚大な被害をもたらす可能性があることから、医療機関においてサイバーセキュリティ対策の強化を図るため、以下に掲げる事項
について確認を行う。
① PC やVPN 機器等の脆弱性情報を収集し、速やかに対策を行える体制が確保されていること
② 診療継続のために直ちに必要な情報をあらかじめ十分に検討し、データやシステムのバックアップを確実に行っていること
③ 不正ソフトウェア対策を講じつつ復旧するための手順をあらかじめ検討し、BCPとして定めておくとともに、サイバー攻撃
を想定した対処手順が適切に機能することを訓練等により確認すること
④ 医療情報システムの保守会社等への連絡体制(サイバー攻撃を受けた疑いがある場合)や厚生労働省への連絡体制(当該サ
イバー攻撃により医療情報システムに障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのおそれがある事
案であると判断された場合)が確保されていること
また、医療機関において情報セキュリティインシデントが発生した場合の立入検査等については、厚生労働省に報告を行う。
なお、医療機関における情報セキュリティインシデントに係る立入検査の実施にあたっては、サイバーセキュリティに係る技
術的事項等について厚生労働省より助言を行うことが可能である。
【参考】・「医療機関等におけるサイバーセキュリティ対策の強化について」(平成30年10月29日付け医政総発第1029第1
号・医政地発第1029第3号・医政研発第1029第1号厚生労働省医政局総務課長・地域医療計画課長・研究開発振興課
長通知)
・「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」(令和3年6月28日付け厚生労
働省政策統括官付サイバーセキュリティ担当参事官室、厚生労働省医政局研究開発振興課医療情報技術推進室、厚生
労働省医薬・生活衛生局医療機器審査管理課 、厚生労働省医薬・生活衛生局医薬安全対策課事務連絡)
・「医療機関を標的としたランサムウェアによるサイバー攻撃について(再注意喚起)」(令和3年11月26日付け厚
生労働省医政局研究開発振興課医療情報技術推進室事務連絡)
・「医療情報システムの安全管理に関するガイドライン 第5.2版」(令和4年3月31日付け医政発第0331第50号
厚生労働省医政局長通知別添)
※立入検査の実施に当たっての留意事項を示したもの
10
カ.医療機関におけるサイバー攻撃への対策について、医療機関の情報システムがランサムウェアに感染すると、保有する情報資産
(データ等)が暗号化され、電子カルテシステムが利用できずに診療に支障が生じたり、患者の個人情報が窃取されたりする等の
甚大な被害をもたらす可能性があることから、医療機関においてサイバーセキュリティ対策の強化を図るため、以下に掲げる事項
について確認を行う。
① PC やVPN 機器等の脆弱性情報を収集し、速やかに対策を行える体制が確保されていること
② 診療継続のために直ちに必要な情報をあらかじめ十分に検討し、データやシステムのバックアップを確実に行っていること
③ 不正ソフトウェア対策を講じつつ復旧するための手順をあらかじめ検討し、BCPとして定めておくとともに、サイバー攻撃
を想定した対処手順が適切に機能することを訓練等により確認すること
④ 医療情報システムの保守会社等への連絡体制(サイバー攻撃を受けた疑いがある場合)や厚生労働省への連絡体制(当該サ
イバー攻撃により医療情報システムに障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのおそれがある事
案であると判断された場合)が確保されていること
また、医療機関において情報セキュリティインシデントが発生した場合の立入検査等については、厚生労働省に報告を行う。
なお、医療機関における情報セキュリティインシデントに係る立入検査の実施にあたっては、サイバーセキュリティに係る技
術的事項等について厚生労働省より助言を行うことが可能である。
【参考】・「医療機関等におけるサイバーセキュリティ対策の強化について」(平成30年10月29日付け医政総発第1029第1
号・医政地発第1029第3号・医政研発第1029第1号厚生労働省医政局総務課長・地域医療計画課長・研究開発振興課
長通知)
・「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」(令和3年6月28日付け厚生労
働省政策統括官付サイバーセキュリティ担当参事官室、厚生労働省医政局研究開発振興課医療情報技術推進室、厚生
労働省医薬・生活衛生局医療機器審査管理課 、厚生労働省医薬・生活衛生局医薬安全対策課事務連絡)
・「医療機関を標的としたランサムウェアによるサイバー攻撃について(再注意喚起)」(令和3年11月26日付け厚
生労働省医政局研究開発振興課医療情報技術推進室事務連絡)
・「医療情報システムの安全管理に関するガイドライン 第5.2版」(令和4年3月31日付け医政発第0331第50号
厚生労働省医政局長通知別添)
※立入検査の実施に当たっての留意事項を示したもの
10