Ｑ11 からＱ13 は、令和４年 11 月 10 日に厚生労働省より発出された事務連
絡「医療機関等におけるサイバーセキュリティ対策の強化について（注意喚
起）」を参照の上、回答すること。
Ｑ11 「１ サプライチェーンリスク全体の確認」に記載の内容をもとに、関
係事業者のセキュリティ管理体制を確認し、関係事業者とのネットワーク接続
点（特にインターネットとの接続点）をすべて管理下におき、脆弱性対策を実
施したか。
本年 10 月に発生した大阪急性期・総合医療センターにおいて発生したサイ
バー攻撃では、攻撃の侵入経路は医療機関自身のシステムではなく、院外の調
理を委託していた給食事業者のシステムを経由したものである可能性が高いこ
とが、厚生労働省から派遣した専門家チームの調査により判っています。本事
務連絡に記載のサプライチェーンリスクを認識し、点検を行ったか回答を選択
してください。
参考：令和４年 11 月 10 日厚生労働省事務連絡「医療機関等におけるサイバーセキュリテ
ィ対策の強化について（注意喚起）」
（抜粋）
１

サプライチェーンリスク全体の確認
上記の通り、自組織のみならずサプライチェーン全体を俯瞰し、発生が予見される

リスクを医療機関等自身でコントロールできるようにする必要があることから、関係
事業者のセキュリティ管理体制を確認した上で、関係事業者とのネットワーク接続点
（特にインターネットとの接続点）をすべて管理下におき、脆弱性対策を実施する。

Ｑ12 「２ リスク低減のための措置」に記載の内容を確認し、自組織に必要
な措置を講じたか。
自組織の医療情報システムに対しリスク分析を行い、明らかとなった脅威に
ついて対策を行うことで、その脅威の発生可能性を低減することができます。
事務連絡記載の事項について点検を行い、必要な措置を講じたか回答を選択し
てください。ただし、具体に講じた措置まで問うものではありません。
引用：令和４年 11 月 10 日厚生労働省事務連絡「医療機関等におけるサイバーセキュリテ
ィ対策の強化について（注意喚起）」
（抜粋）
２

リスク低減のための措置
○パスワードを複雑なものに変更し、使い回しをしない。不要なアカウントを削除し
アクセス権限を確認する。多要素認証を利用し本人認証を強化する。
○IoT 機器を含む情報資産の保有状況を把握する。