医療機関のサイバーセキュリティ対策チェックリストを改訂 全項目の確認を求める(2024年5月13日)
厚労省は5月13日、「医療機関におけるサイバーセキュリティ対策チェックリスト」の令和6年度版を公表した。チェックリストの使用方法等を解説した「マニュアル」や、薬局向けのチェックリスト・マニュアルも同日公表した。令和6年度版チェックリストでは、昨年度版で「参考項目」とされていたチェックを含むすべての項目についての確認・順守を求めている。
チェックリストは昨年5月に策定された「医療情報システムの安全管理に関するガイドライン(第6.0版)」に基づき、医療機関等が優先的に取り組むべき事項をまとめたもの。
サイバーセキュリティ被害を防ぐための項目を「はい・いいえ」で自主的にチェックする形式で、1回目のチェックで順守できていなかった項目は令和6年度中の目標日を記入する。医療法にもとづく医療機関等への都道府県の立ち入り検査の際、本チェックリストの確認が行われる。医療機関等が契約している医療情報・システムサービス事業者においても本チェックリストにもとづく体制等の確認が求められる。
医療機関向けのチェックリストの確認項目数は「体制構築」1項目、「医療情報システムの管理・運用」14項目、「インシデント発生に備えた対応」3項目となった。
令和6年度中に達成すべき項目として、「セキュリティパッチ(最新ファームウェアや更新プログラム)を適用」「インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認」「サイバー攻撃を想定した事業継続計画(BCP)を策定」等がある。