その上で、医療機関等としての対策として、組織的な対応と技術的な対応の両面から担当者と協議
し、対策を整理する必要がある。
これらを踏まえて、攻撃を受ける前の通常時における対応、攻撃を受けた場合の非常時としての対
応、被害からの復旧・復帰などのフェーズの対応策をサイバーセキュリティ対応計画等の形で整理し、
経営層の承認を踏まえて、組織としての対応計画を整備する必要がある。
対応計画の具体的な内容の検討に際しては、経済産業省及び独立行政法人情報処理推進機構におい
て策定している「サイバーセキュリティ経営ガイドライン」などが参考となる。
１２．２ サイバーセキュリティ対応計画の実践
サイバーセキュリティ対応計画には、通常時と攻撃を受けた際の非常時における対策のいずれをも
含んだものとする必要がある。通常時の対策について適切に実施することで、攻撃に備えるとともに、
非常時における対策として対応計画に盛り込んだ事項が実際に攻撃を受けた際に想定通りに機能する
かどうかをあらかじめ確認・検証することが重要である。そのため、企画管理者は、担当者と協働し
て、定期的にサイバー攻撃等のサイバーセキュリティに関する非常時対応が発生したことを想定した
訓練や機能テストなどを行う必要がある。訓練の結果得られた課題等については、サイバーセキュリ
ティ対応計画等に反映することが求められる。
また、サイバー攻撃に関しては、あらかじめ対応することが可能であったにもかかわらず、情報機
器等の脆弱性や利用者の過失等を対象として攻撃を受け、被害が生じている事象もみられることから、
通常時における情報収集や点検、未然防止策の検討を行うためのシステム関連事業者も含めた協働体
制づくりが重要である。
また、サイバー攻撃は日々巧妙化、多様化、高度化することから、サイバーセキュリティ対応計画
等については、少なくとも年１回以上の頻度で見直しを図ることが重要である。
１２．３ サイバー攻撃被害時の対応
サイバー攻撃を受けた際には、あらかじめ策定した対応計画等に従って対応することとなる。場合
によっては、医療機関等独自の対応では対処しきれない事案も想定されるため、そのような場合に所
管官庁への迅速な連絡や情報共有を行うことができるよう、通常時から連絡先や連絡手順、連絡体制
を整備しておく必要がある。また、被害拡大を防止する観点から、医療機関等内の職員やシステム関
連事業者だけではなく、非常時対応として臨時的に医療情報システムに接続する関係者に対しても、
速やかに連絡・情報共有する体制を講じることも重要である。

- 46 -