医療現場では、診療や検査を支える情報システムの安全管理がますます重要になっています。本特集では、医療機関が遵守すべきガイドラインやチェックリストを中心に、安全で信頼性の高い医療情報環境の構築に役立つ情報を紹介します。
目次
2025年11月現在、医療情報システムの安全管理に関する基本的な枠組みは、「3省2ガイドライン」と呼ばれる厚生労働省・総務省・経済産業省の3省が策定した2つのガイドラインによって示されています。これらは、医療機関・システム事業者双方が遵守すべき情報セキュリティ対策や運用ルールを定め、医療情報の保護と円滑な利活用の両立を目的としています。
| 発行元 | ガイドライン | 対象 | 概要 |
|---|---|---|---|
| 厚生労働省 | 医療情報システムの安全管理に関するガイドライン | 医療機関・医療従事者 | 厚生労働省が発行する患者や介護サービス利用者の個人情報を取り扱う医療機関・薬局・介護事業者向けのガイドライン |
| 経済産業省・総務省 | 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン | 医療情報を取り扱うシステム開発・運用事業者、クラウド事業者など | 総務省が発行する2つのガイドラインと経済産業省のガイドラインが統合 |
医療情報システムの安全管理に関するガイドラインとは
厚生労働省が策定する「医療情報システムの安全管理に関するガイドライン」は、医療機関等が電子的な医療情報を取り扱う際に、技術的・組織的・人的な安全管理措置を通じて、患者の個人情報の機密性・完全性・可用性を確保するための基本指針です。
また、クラウドサービス利用やサイバー攻撃高度化の時代背景を踏まえ、外部委託先との責任分界の明確化や「ゼロトラスト」型の考え方を含む最新のセキュリティ対策を提案しています。
navigate_next※厚生労働省:医療情報システムの安全管理に関するガイドライン
医療機関等におけるサイバーセキュリティ対策チェックリストとは
厚生労働省は 「医療情報システムの安全管理に関するガイドライン」のほかに、「医療機関等におけるサイバーセキュリティ対策チェックリスト」を公表しています。医療機関・薬局・医療情報システム事業者などがサイバー攻撃などのリスクに対し、優先的に取り組むべき具体的な対策項目を整理したものです。
このチェックリストでは、これまで個別だった「医療機関用」「薬局用」「事業者用」のマニュアルを統合し、共通の視点による確認を可能としつつ、項目の見直し・追加も行われています。
navigate_next医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル
navigate_next令和7年度版医療機関におけるサイバーセキュリティ対策チェックリスト
医療機関等におけるサイバーセキュリティ対策チェックリストへの対応
各医療機関でこのチェックリストに対応する必要はありますが、各医療機関の予算等もあるのでどこまで行うべきかは保健所等の考えによるところはあります。毎年各医療機関に保健所監査が入りますが、その際の事前提出書類として、医療機関は提出保健所の監査に関しては、どこまで満たしておくべきかは明らかになっていません。
しかし、年々厳しくなっている印象があるとの声もあり、保健所から監査にて改善報告等が出される場合はありますので、十分な対策が必要となります。
また、病院の施設基準に【医療情報システムの安全管理に関するガイドライン】に則った対策が必要な加算もありますのでそちらを算定する医療機関の場合は十分な対策が必須です。
医療業界の特徴
医療業界の特徴については、こちらのページをご参照ください。
医療機関の情報漏洩対策!オフライン環境でも個人情報の持ち出しを防ぐ、デバイス制御ソフトRunDX
昨今、医療機関での情報漏洩が大きな課題となっています。近年話題になった事件では、病院職員によって患者の個人情報や診療データが外部に流出し、大きな信用問題に発展したケースもあります。[…]
医療業界における内部不正事件
実際に病院で起きた内部不正事件を2件ご紹介します。
医療業界における内部不正事件①
■長野県松本市相澤病院(2023年3月)
相澤病院の元職員が、退職後に同病院を訪れて後輩職員に「業務マニュアルが見たい」などと話し、パソコンの業務用フォルダーにアクセスして個人情報を記録媒体にコピーした情報漏洩が発覚。病院は個人情報保護委員会への報告と警察への告訴を行い、院長が謝罪。
▶個人情報の内容
透析治療や高気圧酸素療法を受けている患者2,603人と家族534人の計3,137人分の住所や氏名、生年月日、医療情報などが不正に持ち出された。
▶原因
- 元職員や後輩職員に対するコンプライアンス意識や教育などが徹底されていなかった。
- システム的な対策を施していなかった。
▶対策方法(もしもデバイス制御ソフトを入れていたら…)
USBアクセスを禁止にし、許可したUSBのみ使用許可することで、私物USBへ個人情報を保存させない
navigate_next※朝日新聞:患者ら3137人の個人情報が流出 病院の元職員が不正持ち出しか
医療業界における内部不正事件②
■地方独立行政法人東京都立病院機構(2025年10月)
東京都立多摩総合医療センターにおいて、封筒に入ったUSBメモリが外部で拾得されたことをきっかけに、患者等の個人情報が流出していたことが判明した。病院は警察への相談や事実確認を進めつつ、該当患者への謝罪・説明と再発防止のための管理徹底を行う方針である。
▶個人情報の内容
過去に胃癌や消化器外科手術を受けた患者計187件の患者ID・氏名・生年月日・性別・住所・連絡先・手術日などに加え、患者リストが送付された都民1名の住所と氏名を含む計188件の個人情報
▶原因
- システム的な対策を施していなかった
▶対策方法(もしもデバイス制御ソフトを入れていたら…)
USBアクセスを禁止にし、許可したUSBのみ使用許可することで、私物USBを介して個人情報を保存させない
navigate_next※地方独立行政法人東京都立病院機構:東京都立多摩総合医療センターにおける個人情報の流出について
医療業界における情報漏洩対策の実情と課題
病院での情報漏洩対策の現状として、個人情報等の重要なデータを取り扱う機会が多くある中、ネットワークを分離し、外部デバイスへのコピーは特定の専用PCでのみ利用できる運用にて対策しています。しかしその一方で容易に外部デバイスを使用できる環境では情報漏えいや内部不正は起こり得るのが課題です。また、持ち込まれたデバイスを院内PC端末等に使用されると、ウイルス感染や情報漏えいの恐れもあります。
そこで、これらの課題への対策を行う際のポイントは以下の通りです。
-
USBメモリの利用は一部業務において必須であり、全端末の利用制限は難しい
(どうしても一部PCはUSBメモリによるデータコピーが必要) - 電子カルテとそれ以外の情報でネットワークが分かれており、完全な一元管理は困難。完全オフライン(インターネット未接続の閉域網)でも使用できることが必要
- 医療情報システムの安全管理に関するガイドラインの要件を満たすためには、持ち出しに際しての置き忘れ、盗難に対しての対策も必要である
RunDX導入による効果
株式会社ラネクシーの「RunDX DeviceControl」は、USBメモリをはじめとした外部デバイス接続の制御によって情報漏洩対策ができる、国産のソフトウェアです。機能は外部デバイス制御に特化しており、かんたんに堅牢な制御が可能で、導入作業も容易に行えます。
クライアントPC1台につき9,200円(税抜標準価格)で買い切りの製品です。
株式会社ラネクシーでは、約800の医療機関に対して12,000ライセンスのデバイス制御導入実績があります。
「RunDX DeviceControl」を導入することで、以下のような効果が得られます。
外部デバイスに対し書き込みを禁止にし、内部不正対策を実施する
データをコピーするPCに対して、一部のUSBメモリのみ書き込みを許可することで業務効率低下を防ぐ
2医療情報システムの管理・運用
USBストレージ等の外部記録媒体や情報機器に対して接続を制限している。 (2-⑨)
完全オフラインPC(インターネット未接続の閉域網)に対して、スタンドアロン利用で対策する
共有端末に対して、ユーザーごとに異なるデバイス制御を設定する
ネットワーク通信制御を行い、完全クローズド環境を構築し、外部との通信を完全に遮断する
医療情報システムの安全管理に関するガイドライン
第 6.0 版 システム運用編
7.情報管理(管理・持出し・破棄等) [Ⅰ~Ⅳ] 【遵守事項】④
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや他の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナルファイアウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならないような対策を実施すること。
デバイス操作ログを取得することで、誰が、いつ、どのデータをどのデバイスで持ち出したかを記録として残す
navigate_next▼持ち出しファイルを記録して証跡管理! 安心のデバイス操作ログ取得機能
「BitLocker To Go」と組み合わせて、暗号化されたUSBメモリのみ許可する(置き忘れ、盗難対策)
navigate_next▼RunDX × BitLocker To Go
医療情報システムの安全管理に関するガイドライン
第 6.0 版 システム運用編
7.情報管理(管理・持出し・破棄等) [Ⅰ~Ⅳ] 【遵守事項】③
医療情報及び情報機器等の持出しに際しての盗難、置き忘れ等に対応する措置として、医療情報や情報機器等に対する暗号化やアクセスパスワードの設定等、容易に内容を読み取られないようにすること。
