近年、医療機関を標的としたランサムウェアをはじめとするサイバー攻撃の脅威が深刻化しています。電子カルテやレセプトコンピューターが暗号化され、診療報酬の請求や日々の診療そのものが長期間にわたって停止する事態は、大病院だけでなく、専任のIT担当者がいない小規模なクリニックにとっても決して他人事ではありません。
こうした背景から、厚生労働省が策定する「医療情報システムの安全管理に関するガイドライン」が改定され、すべての医療機関においてより厳格なサイバーセキュリティ対策の構築が求められるようになりました。本記事では、クリニックの開設者や院長が押さえておくべき法的な安全管理責任や、システムベンダーとの実務上の契約の注意点について解説します。
これまでの医療セキュリティ対策といえば、部外者の侵入を防ぐ防犯カメラの設置や鍵の管理といった、主に物理的な防犯対策が中心でした。しかし、オンライン資格確認の導入やマイナ保険証の普及など、クリニックのネットワークが外部と日常的に接続されるようになった現在、リスクの性質は完全に変化しています。
サイバー攻撃者は、セキュリティの強固な大病院ではなく、対策の手薄な小規模クリニックのネットワーク環境や、導入されている医療機器の通信回線に存在する「わずかな脆弱性」を足がかりにして侵入を試みます。万が一、院内のサーバーが感染した場合、過去の患者データや処方履歴に一切アクセスできなくなり、診療の一時停止を余儀なくされるだけでなく、地域医療における信頼を大きく損なうリスクがあります。「うちは規模が小さいから狙われない」という前提は、現代の医療経営においては通用しなくなっているのが実態です。
ガイドラインの改定において明確に打ち出されたのが、医療機関の開設者および院長が負うべき「最終的な安全管理責任」です。ITやネットワークの専門知識がないからといって、セキュリティ対策のすべてを外部のシステム会社へ丸投げし、実態を把握していない状態は、法的な経営責任を問われるリスクに繋がります。
具体的には、院内に「安全管理責任者」を明確に定め、情報セキュリティに関する内部規程を文書化して整備することが求められます。これは、万が一のデータ漏洩やシステム停止が発生した際、「適切な対策を講じていたか」というドクター自身の自己防衛(リーガルリスクへの備え)を証明するためにも不可欠な実務です。日々の診療業務で多忙な中にあっても、自院のネットワーク環境にどのようなリスクがあるのかを把握し、管理体制を統制する姿勢が院長主導で求められています。
クリニックがサイバーセキュリティ対策を進めるうえで、最もトラブルになりやすいのがシステムベンダーとの関係性です。多くのクリニックでは、電子カルテや検査機器の導入・保守を複数の異なるベンダーに委託していますが、それぞれのサポート範囲やセキュリティの「責任の境界線(責任分界点)」が曖昧なまま契約が締結されているケースが多く見られます。
不具合や接続トラブルが起きた際、ベンダー間で責任の押し付け合いが発生し、復旧作業が大幅に遅れるという運用の悪循環は珍しくありません。これを防ぐためには、契約時やシステム更新の段階で、ベンダー側から「MDS(製造業者による医療情報セキュリティ開示書)」や「SDS(サービス事業者による医療情報セキュリティ開示書)」などのチェックシートを提出させ、どの範囲までを業者が保証し、どこからがクリニック側の管理責任になるのかを明確に定義しておく必要があります。また、令和9年度(2027年度)から原則義務化の対象となる「二要素認証」の導入やアクセス権限の適切な制限など、ベンダーに対してガイドラインに準拠したセキュリティ対応を適切に要求するコントロール力が求められます。
どれほど強固な防壁を築いても、サイバー攻撃のリスクを完全にゼロにすることは困難です。そのため、ガイドラインでは「システムが停止することを前提とした初動対応とBCP(事業継続計画)」の策定が重視されています。災害時の避難訓練と同様に、システムが暗号化されたりネットワークが遮断されたりした場合に、どのような手順で紙カルテ運用へ切り替えるのか、厚生労働省や保健所への報告ルートはどうなっているのかを事前にマニュアル化しておく必要があります。また、バックアップデータがネットワーク経由で同時に感染することを防ぐため、物理的に切り離したオフラインでのデータ保管体制を整えておくことも、早期復旧のための重要な鍵となります。
医療情報システムの安全管理に関するガイドラインへの準拠は、現代のクリニック経営において避けて通れない義務となっています。しかし、専門的なIT用語が飛び交うガイドラインを正しく読み解き、自院の規模に見合った適正なセキュリティ機器(UTMやEDRなど)を選定したり、ベンダーとの契約書に適切なリスク管理条項を落とし込んだりするのは、医師個人の力だけでは容易ではありません。
そのため、機器の販売のみを目的とするシステム会社や、一般的なオフィス向けのIT業者とは別に、医療機関特有の行政手続きやガイドライン実務に精通した専門家のアドバイスを仰ぐのが、経営リスクを軽減するための有効な選択肢です。当メディアでは、最新の医療DXやセキュリティ対策、ベンダー交渉のサポートを含め、東京エリアで実績のあるクリニック開業支援会社を調査し、それぞれの特徴をまとめて紹介しています。安全で信頼されるクリニック運営の基盤づくりのために、ぜひ参考にしてください。
引用元:なの花東日本公式HP(https://www.msnw-kaigyou.jp/)
引用元:PHCメディコム公式HP(https://www.phchd.com/jp/phcmn)
引用元:アプト公式HP(https://www.iinkaigyo-navi.net/)
【3社の選定理由】
2022年3月17日時点「クリニック開業 東京」「医院開業 東京」とGoogle検索して表示された59社の中から、本格的な診療圏調査を無料で提供している会社の内、3社を以下の理由により選出。
なの花東日本(メディカルシステムネットワークグループ)…該当企業の中で唯一、開業のコンサルティング費用が無料で、自社でテナント(医療ビル・モール等)を企画開発している。
PHCメディコム…該当企業の中で、医院継承に対応し、最も多くの医療ITシステムを開発している。
アプト…該当企業の中で、23区、23区外(諸島部除く)戸建て物件の紹介数が最も多く、不動産仲介業や建築工事業を行っているため、自由度の高い物件を見つけることができる。