医療機関のサイバーセキュリティ義務化、何から始める?
対応手順をわかりやすく解説
「医療機関のサイバーセキュリティが義務化されたけれど、具体的に何をすればいい?」
近隣の病院がサイバー攻撃で診療停止になったニュースを見て、不安を感じている院長先生や担当者の方も多いのではないでしょうか。
「やらなきゃいけないのは分かっているけれど、何から手をつければいいか分からない」というのが本音だと思います。
そこでこの記事では、法改正による義務化の具体的な中身から、厚生労働省のチェックリストの要点までを分かりやすく解説します。専門の担当者がいない医療機関でも、無理なく進められる実践的な対策、そしてコストを抑えて始められる方法まであわせてご紹介します。
医療機関のサイバーセキュリティは何が義務化されたのか?
「義務化されたのは知っているが、中身まではよく分からない」という方は少なくありません。
ここでは、以下の4つのポイントを順に解説します。
- いつ・どんな法改正があったのか
- 誰が対象なのか
- 具体的に何を求められるのか
- 罰則はあるのか
2023年4月施行の医療法施行規則改正(管理者の義務として新設)
2023年(令和5年)3月10日、医療法施行規則の一部を改正する省令が公布され、同年4月1日から施行されました。
背景にあるのは、医療機関を狙うサイバー攻撃の増加です。攻撃によって診療が止まる事案が実際に発生し、患者の個人情報が盗まれるなど甚大な被害につながりかねないことから、対策の実効性を高める必要があるとされました。
この改正で新たに設けられたのが、医療法施行規則第14条第2項です。以下の内容が追加されました。
「病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置を講じなければならない。」
ポイントは、サイバーセキュリティ対策が、管理者が必ず守るべき義務として明確に位置づけられたことです。
「できればやる」ではなく「やらなければならない」として、対策を後回しにすることが制度上は認められなくなったということです。
出典:e-Gov法令検索「医療法施行規則」(昭和23年厚生省令第50号)第14条第2項
対象は病院・診療所・助産所すべて
この義務の対象は、病院だけでなく、診療所や助産所も含まれます。
「うちは小さなクリニックだから関係ない」と考えるのは誤りで、規模を問わずすべての医療機関の管理者が対象です。
むしろ、専門のIT担当者を置きにくい小規模な医療機関ほど、何から手をつけるべきか分からず対応が遅れがちなのが実情です。
「必要な措置」=安全管理ガイドラインの遵守を指す
では、具体的に何をすれば「必要な措置」を講じたことになるのでしょうか。
厚生労働省は、医療機関が参照すべき指針として「医療情報システムの安全管理に関するガイドライン(第6.0版)」を示しています。
第6.0版は、読者に応じて次の4編で構成されているのが特徴です。
- 概説編:各編に共通する前提となる内容
- 経営管理編:意思決定・経営層向け
- 企画管理編:システムの安全管理者向け
- システム運用編:システムの運用担当者向け
とくに、リスク評価やBCP(事業継続計画)の策定をシステム担当者任せにしないことなど、経営層が責任をもって取り組むべき事項が明記されました。
クラウド利用時の責任分界、ゼロトラスト、EDR(端末の検知・対応)、多要素認証といった具体的な対策も整理されています。
罰則はある?立入検査で確認される「対策の取組状況」
結論として、サイバーセキュリティ対策ができていないこと自体への直接の罰則はありません。
そもそも立入検査は医療機関を罰するためのものではなく、適正な医療を提供できる状態かを確認し、整えてもらうための検査だからです。
ただし「罰則がないから後回しでよい」とは言えません。立入検査では、次のように対策の取組状況が確認されます。
- 医療法第25条第1項に基づき、原則として年1回各病院で実施される(運用は自治体により異なる場合があります)
- 2023年(令和5年)から、検査項目に「サイバーセキュリティの確保」が追加された
- 不備があれば是正の指導・助言を受け、改善計画書の提出を求められることもある
確認には後述の厚生労働省のチェックリストが使われ、対策状況が毎年チェックされます。
罰則の有無にかかわらず、サイバーセキュリティは医療機関が前向きに向き合うべき経営課題といえます。
出典:厚生労働省「医療機関の立入検査の概要」
医療機関がサイバー攻撃を受けやすい3つの理由
「なぜ医療機関ばかりが狙われるのか」を理解しておくと、対策の優先順位が見えてきます。
医療機関が標的になりやすいのには、大きく3つの理由があります。
理由1:価値の高い情報を大量に持っている
医療機関は、氏名・住所・連絡先・保険証番号・診療履歴・病歴・投薬情報・検査結果といった極めて重要な個人情報や医療情報を大量に保有しています。
こうした情報は犯罪者にとって価値が高く、売買や脅迫の材料になりやすいため、攻撃者にとって「高く売れる情報」とみなされやすい点が狙われやすい理由の一つとなっています。
理由2:診療を止められないため身代金を払いやすいと狙われる
医療機関は人命に直結する業務を担っており、システムが止まれば診療そのものが立ち行かなくなります。
攻撃者はこの弱点を突き、「早く復旧したいなら身代金を払うだろう」と見込んで医療機関を狙います。
実際、電子カルテが暗号化されて長期間の診療停止に追い込まれた事例が各地で発生しており、最悪の場合は経営の継続が困難になるほどの打撃を受けることもあります。
理由3:専門人材・予算が不足し対策が後回しになりがち
医療現場では診療業務が最優先されるため、システムの更新やセキュリティ機器の入れ替えが後回しになりがちです。
加えて、セキュリティ対策に十分な予算や人材を割けないことも多く、専門知識を持つスタッフを院内に置けている医療機関は限られているのが実情です。
この「対策が手薄になりやすい状況」が、攻撃者につけ込まれる隙を生んでいます。
対策しないと何が起きるのか
これらのリスクを放置した場合、起こり得る事態は深刻です。実際に想定される被害には次のようなものがあります。
医療機関のサイバー攻撃の被害例
- 診療の長期停止:電子カルテや院内システムが止まり、受付・診察・検査・会計まで業務全体が長期間ストップする
- 情報漏えいと賠償・信用失墜:病歴や投薬情報、個人情報が流出し、患者への謝罪や損害賠償、地域からの信用失墜を招く
- 地域医療への影響:検査・手術の延期や転院対応が必要になり、地域の医療提供に支障が出る
医療機関は人命に関わるため、システム停止が許されないという特性を持っています。
だからこそ攻撃者にも狙われやすく、攻撃を防御するセキュリティ対策はもちろん、万が一被害を受けた際に速やかに業務を立て直すための「復旧への備え(BCP:業務継続計画)」を講じておくことが強く求められます。
医療機関のサイバーセキュリティで確認すべき事項とは?
医療機関向けに出した2026年(令和8年)5月の注意喚起で、厚生労働省は「医療情報システムの安全管理に関するガイドライン」の内容を要約し、医療機関等が優先的に確認すべき事項を次の8つに整理しています。
自院でできているか、まずは内容を照らし合わせてみましょう。
- 1.経営層の関与とガバナンスの強化
-
- サイバーセキュリティを経営課題として位置づけ、経営層が主体的に関与する
- セキュリティ責任者や体制を明確化し、組織的な管理体制を整備する
- インシデント発生時の意思決定体制・連絡系統を事前に確立する
- 2.医療情報システムの適切なリスク管理
-
- 電子カルテ・医療機器・院内ネットワーク等の重要システムの把握とリスク評価
- ネットワーク分離やアクセス制御など、重要度に応じた防御対策の導入
- 外部委託・クラウド利用時の責任分担や契約条件の明確化
- 3.脆弱性対策と資産管理の徹底
-
- ソフトウェア・機器の資産管理(棚卸し)を継続的に実施
- セキュリティパッチの適用・アップデートを迅速に行い、既知の脆弱性へ遅滞なく対応
- サポートが終了した機器の使用見直し
- 4.ランサムウェア対策の強化
-
- バックアップの取得・保管(オフラインを含む)と復旧訓練の実施
- 不審メールや添付ファイルへの対応など、基本的な対策の徹底
- ネットワーク異常や感染兆候の早期検知体制の整備
- 5.インシデント対応体制の整備
-
- 初動対応手順(封じ込め・影響範囲確認等)を明確化
- 厚生労働省・関係機関・ベンダ等への報告・連携体制の確保
- 事後的な原因分析と再発防止策の継続的実施
- 6.人的対策(教育・訓練)の徹底
-
- 全職員に対する定期的なセキュリティ教育・注意喚起
- フィッシング対策や標的型攻撃を想定した訓練の実施
- 医療従事者と情報部門の連携強化
- 7.サプライチェーン・医療機器対策
-
- 医療機器メーカーやベンダとの連携によるセキュリティ情報の共有
- 調達段階からのセキュリティ要件の確認・担保
- 機器の更新・保守におけるセキュリティ対応の徹底
- 8.事業継続(BCP)と診療継続体制の確保
-
- サイバー攻撃を想定した業務継続計画(BCP)の策定・見直し
- システム停止時でも診療を継続するための代替手段(紙運用等)の確保
- 定期的な訓練による実効性の向上
これらの最低限の遵守事項をリスト化したものが、後述の「医療機関におけるサイバーセキュリティ対策チェックリスト」です。
まずはチェックリストを満たしているかを確認するのが出発点になります。
医療機関のサイバーセキュリティ対策チェックリストとは?
医療機関向けのサイバーセキュリティ対策チェックリストは、厚生労働省が公開している自己点検用ツールです。
義務化された「必要な措置」として具体的に何をすればよいかを項目に落とし込んだもので、対策を始める際の出発点になります。
チェックリストの位置づけ(立入検査でも確認される)
このチェックリストは、医療法施行規則第14条第2項が求める「必要な措置」の具体的な中身を示すものです。
各医療機関が自己点検に使うだけでなく、医療法第25条第1項に基づく都道府県の立入検査でも確認に用いられます。
使用する際は、医療機関は「医療機関確認用」または「薬局確認用」を、事業者は「事業者確認用」を用いて確認しましょう。
令和7年度版では、令和7年度中にすべての項目で「はい」になるよう取り組むことが求められています。「いいえ」の項目には、年度内の対応目標日を記入する欄が設けられています。
チェックリストの4つの柱【医療機関確認用】
ここでは、「医療機関確認用」のチェックリストの一部をご紹介します。
1.体制構築
- 医療情報システム安全管理責任者を設置している
安全管理責任者の役割は、情報セキュリティ方針の策定や、教育・訓練を含むセキュリティ対策の推進です。
実効性を高めるため経営層が就くことが望ましいとされていますが、規模や組織によっては企画管理者が兼務することもあります。
2.医療情報システムの管理・運用
最も項目が多く、日常的な技術対策の中心です。
サーバ・端末PC・ネットワーク機器について、次のような対策が求められます。
医療情報システム全般について(一部抜粋)
- サーバ、端末PC、ネットワーク機器の台帳管理を行っている
- 強固なパスワード(英数字・記号混在の8文字以上)を設定し、定期的に変更している
(※二要素認証または13文字以上なら定期変更は不要) - 職種・担当業務別に、情報区分ごとのアクセス権限を設定している
- 退職者や未使用のアカウントなど、不要なアカウントを削除・無効化している
- セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
- USBストレージ等の外部記録媒体や情報機器に対して接続を制限している
- 二要素認証を実装している(または令和9年度までに実装予定である)
サーバ・端末PC・ネットワーク機器について
- サーバでアクセスログを管理している
- バックグラウンドで動作する不要なソフトウェア・サービスを停止している
- ネットワーク機器で接続元制限を実施している
3.インシデント発生に備えた対応
経営層等は、インシデント発生に備えて、事業者や外部有識者と非常時の情報共有・支援に関する体制を整えるよう、企画管理者等に指示することが重要です。次の3点を確認しましょう。
- インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡体制図がある
- インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している
- サイバー攻撃を想定した事業継続計画(BCP)を策定している
連絡体制図には、施設内の連絡先に加え、事業者・情報セキュリティ事業者・外部有識者・都道府県警察・厚生労働省などを明示します。なお立入検査では、連絡体制図やBCPは現物が確認されます。
4.規程類の整備
- 上記1-3のすべての項目について、具体的な実施方法を運用管理規程等に定めている
安全管理を適切に行うには、明文化されたルールが欠かせません。
機器やアカウント・アクセス権限の管理方法、システム異常時の対応(BCPに基づく運用など)、職員教育・訓練などを、経営層や企画管理者が管理できる形で定めます。
策定時は医療情報システムの安全管理に関するガイドラインや小規模医療機関等向けガイダンスなどを参考にしてください。なお、立入検査では、これらの規程類も確認対象となります。
出典:厚生労働省「令和7年度版 医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関等・事業者向け~」
専門知識がなくても安心!
医療機関のサイバー対策にUTMが選ばれる理由
UTM(統合脅威管理)とは、いくつものセキュリティ機能を1台にまとめた機器のことです。
本来はファイアウォール(不正な侵入を防ぐ壁)、ウイルス対策、不審な通信の監視、危険サイトの遮断などを別々に用意する必要がありますが、UTMはこれらの機能を1台に集約できます。
インターネットの「出入口」をまとめて守る、いわば院内ネットワークの門番のような存在です。
専門の担当者を置きにくい医療機関にこそ向いている選択肢です。
複数機能を1台に集約=低コスト・手間も少なく、しっかり守れる
セキュリティ対策を製品ごとにバラバラに揃えると、費用がかさみ、管理も複雑になりがちです。
UTMなら1台で広く守れるため、コストを抑えながら、管理の手間もシンプルにできます。
「限られた予算と人手で、やるべき対策を効率よく済ませたい」という医療機関にぴったりです。
専門担当者がいなくても運用しやすい
UTMは出入口に設置することで広範な脅威への備えを集約でき、運用の多くを保守サービスに任せられます(定期的な更新・確認は必要です)。
診療と掛け持ちでシステムを見ている担当者でも、負担を抑えて運用可能です。
UTM+エンドポイント対策で「入口」と「端末」を二重に守る
ただし、UTMだけですべてを防げるわけではありません。
たとえばUSBメモリ経由で持ち込まれるウイルスなど、出入口をすり抜ける攻撃もあります。
そこで効果的なのが、パソコンやサーバといった端末そのものを守る「エンドポイントセキュリティ(ESETなどのウイルス対策ソフト)」との併用です。「入口(UTM)」と「1台1台の端末」の二段構えにすることで、守りをさらに固められます。
「UTMはもう古い」と言われたら?
セキュリティに詳しい方から「これからはゼロトラスト。UTMは古い」と聞くことがあるかもしれません。
ゼロトラストは安全性の高い新しい考え方ですが、費用も運用の手間も大きく、導入しているのは主に大企業や官公庁です。
多くの中小規模のクリニックには、大がかりすぎてかえって負担になりがちです。
大切なのは「新しいか古いか」ではなく、自院の規模や予算に合った対策を選ぶことです。
コストを抑えて出入口を広く守れるUTMは、中小規模の医療機関にとって今も十分に有効な選択肢です。
コストを抑えたい医療機関へ
初期費用0円で始めるUTMレンタル
UTMのメリットは分かっても、「導入にまとまった費用がかかるのでは」という不安から、ためらってしまう医療機関は少なくありません。
義務化への対応は進めたい、でも診療以外に大きなコストはかけにくい...。
その両方に応えるのが、初期費用を抑えて始められるトリニティーのUTMレンタルです。
まとまった初期費用は不要で、毎月定額のみ。サクサやCheck Pointといった定番のUTMを、費用を抑えて導入いただけます。
設置や設定、導入後のサポートまでおまかせいただけるので、ITに詳しい担当者がいない医療機関でも安心です。
「具体的な費用を知りたい」「うちの規模だと、どの機器が合っているのか教えてほしい」
そんな段階でも構いません。義務化対応の最初の一歩として、まずはお気軽にご相談ください。
\UTMレンタルのメリット/
初期費用0円・月々定額で始めやすい
まとまった初期費用が不要で、毎月定額のみ。
「まずは無理なく導入したい」という中小企業や、はじめての担当者にも選ばれています。
ひとり情シス・兼任でも安心のサポート
設置から設定、導入後のトラブル対応まで専門スタッフにおまかせ。
「ITに詳しい担当者がいない」「他業務と兼任」という方にも、分かりやすくご提案・サポートします。
物理セキュリティもまとめて相談できる
防犯カメラや入退室管理システムといった物理的な対策にも対応。
会社を守るセキュリティを一社にまとめて相談できるのが、私たちの強みです。
\定番のUTM製品が初期費用0円/
まずはプロに無料相談!
まとめ 義務化対応とコストの不安を、UTMでまとめて解決
医療機関のサイバーセキュリティは、2023年4月の法改正で管理者の義務として明確に位置づけられました。
病院も小さなクリニックも対象で、直接の罰則はないものの、立入検査で取組状況が確認されるため、もはや避けて通れない経営課題です。
ここまでの要点を整理します。
- まずは現状把握:厚生労働省のチェックリストで自己点検し、「最低限の措置」から優先的に着手する
- 技術対策はUTMで効率化:チェックリストのうち、ネットワークの出入口に関わる技術対策をUTM1台で集約できる
- コストと運用の不安はレンタルで解決:トリニティーのUTMレンタルは初期費用0円・月額のみで始められ、設置から運用までおまかせ
「専門の担当者がいない」「初期費用をかけにくい」
そんな医療機関にとって、UTMレンタルは義務化対応とコストの不安を同時に解決できる選択肢の一つです。
自院に合う機種や費用感を知りたい方は、現地調査・お見積り無料の無料相談をご活用ください。
現地調査・お見積り無料
