３．４．３ 情報セキュリティインシデントへの対応体制
【遵守事項】
①

情報セキュリティインシデントの発生に備え、厚生労働省、都道府県警察の担当部署その他の

所管官庁等に速やかに報告するために必要な手順や方法、体制などを整備するよう、企画管理者
に指示すること。
②

情報セキュリティインシデントが発生した場合に、厚生労働省等への報告のほかに、患者等に

対する公表・広報を適切に行える体制を、通常時から整備すること。

➢ 情報セキュリティインシデントが発生した場合、医療機関等内の対応として、速やかに情報セキュ
リティの最高責任者への報告と関係者への連絡を行い、被害発生の事象特定、拡大防止等に努める
必要がある。
➢ 具体的には、情報セキュリティインシデントの発生に対して、影響範囲や損害の特定、被害拡大防
止を図るための初動対応、原因の究明、再発防止策の検討を速やかに実施するための CSIRT
（Computer Security Incident Response Team（緊急対応体制））等を整備することが望ましい。特
に一定規模以上の病院や、地域で重要な機能を果たしている医療機関等においては、地域医療に与
える影響の大きさを鑑みると、CSIRT の整備が強く求められる。
➢ 情報セキュリティインシデントが発生した場合には、法令等に基づく報告に加え、必要に応じて、
所管官庁等の関係者に対して報告することも重要である。特に、サイバー攻撃を受けたまたはその
疑いがある場合には、早急にその状況を所管官庁等に報告し、共有することにより、被害の拡大を
防ぎ、復旧のための対策を講ずることが可能となるためである。
➢ 不正ソフトウェアの混入などによるサイバー攻撃を受けた（疑い含む）場合や、サイバー攻撃によ
り障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのおそれがある事案である
と判断された場合には、
「医療機関等におけるサイバーセキュリティ対策の強化について」
（平成 30
年 10 月 29 日付け医政総発 1029 第１号・医政地発 1029 第３号・医政研発 1029 第１号厚生労働省
医政局関係課長連名通知）に基づき、所管官庁への連絡等、必要な対応を行うこととなっている。
➢ また、患者の個人情報を含む医療情報の漏洩等が生じた場合には、個人情報保護法に基づく報告等
が必要である（同法第 26 条、同法施行規則第 8 条）
。

- 18 -