厚生労働省は、医療機関の管理者に対して、2023年4月1日からサイバーセキュリティの確保を義務付けました。医療機関がサイバー攻撃を受けると、患者情報の漏えいやシステム障害だけでなく、診療そのものが停止して地域医療にも大きな影響が及ぶため、サイバーセキュリティ確保が義務化されました。特に、ランサムウェア攻撃や個人情報の流出が問題視されており、各国で法規則が進んでいます。
主な義務化内容
・サイバーセキュリティ管理者の設置
病院や診療所の管理者は、医療の提供に著しい支障を及ぼす恐れがないよう、サイバーセキュリティを確保するために必要な措置を講じることが求められています。特に200床以上の病院に対しては、専任の管理責任者の配置を求めます。
・セキュリティ対策の実施
ウイルス対策ソフトの購入や定期的なシステム更新、不正アクセス対策(ファイアーウォールや侵入検知システムの導入)など、多層防御の考え方を導入する事が求められます。
・インシデント対応計画の策定
サイバー攻撃を受けた際の対応マニュアルの作成やバックアップデータの管理、復旧手順の確立が重要視されています。
・従業員のセキュリティ教育
フィッシング詐欺や標準型攻撃への対策講習の実施など、従業員への継続的な教育が推奨されています。
研修・教育の推進
一般社団法人ソフトウェア協会(SAJ)は、厚生労働省の委託を受け、2024年9月より医療機関向けのサイバーセキュリティ対策研修を開始。この研修では、経営者向けやシステム管理者向けなど、様々な対象者に応じたプログラムが提供される予定です。
罰則・罰金の可能性
具体的な罰則は今後の施行規則で明確化される予定ですが、セキュリティ義務を怠った結果、個人情報の漏えいや業務停止が発生した場合、行政指導や罰則が科される可能性があります。
海外の動向
・米国
HIPAA(医療保険の相互運用性と説明責任に関する法律)により、医療機関に厳格なセキュリティ対策を義務付け。違反時は高額な罰金が発生。
・EU
GDPR (一般データ保護規則)に基づき、個人データの保護を強化。違反すると巨額の罰金が科される。
まとめ
医療機関は、これらの義務化された対策を遵守し、患者の安全と信頼を守るための取り組みを強化する事が求められています。また、医療機関だけではなく、近年データ化が進む中でセキュリティ対策がされているかどうかは大きなポイントになっています。ACNではセキュリティ対策商材も取り扱いしており、導入されているお客様からはアフターメンテナンス、サポート対応の部分が特に評価いただいております。今後の対策としてご検討されている方はお気軽にご連絡下さい!
