【最新版】医療情報システムの安全管理に関するガイドライン第7.0版が公開!システム運用担当者が行うべき対策とは?
医療DXが加速する一方で、医療機関を狙ったサイバー攻撃の被害が拡大しています。こうした現状を受け、厚生労働省は2026年6月、「医療情報システムの安全管理に関するガイドライン第7.0版」を公開しました。本記事では、医療情報システムを安全に運用するために、今後どのような対策が求められるのかを詳しく解説します。
※出典:厚生労働省|医療情報システムの安全管理に関するガイドライン第7.0版(外部リンク)
目次
医療DXの進展
高齢化による医療ニーズの拡大と少子化による医療従事者の不足は、現在の日本にとって深刻な問題です。そのため政府は医療分野の情報のあり方を根本的に解決する「医療DX令和ビジョン2030」を掲げました*1。
医療DXには、次の3つの柱があります。
●「全国医療情報プラットフォーム」の創設
● 電子カルテの標準化
● 診療報酬改定DX
この3つの柱を確立することで、今までバラバラになっていた医療情報を統合し、質の高い医療のために活用することを目指しています。
具体的な対策は現在進行形で進められており、段階的に実装されています。
- ~2024年度:マイナ保険証の原則義務化
- 健康保険証を廃止し、オンライン資格確認の導入が原則として義務化されました。
- ~2026年度:電子処方箋・電子カルテ共有の拡充
- 電子カルテをすでに導入している医療機関においては、次回更改時に電子処方箋、電子カルテ共有サービスに対応するシステム改修を実施します。
- ~2026年度:診療報酬改定DXの本格運用
- 共通算定モジュールを実装し、医療機関の共通コストを削減します。
- ~2030年度:標準型電子カルテの普及・定着
- 電子カルテを導入していない医療機関においては、電子処方箋、電子カルテ共有サービスに対応できる標準化された電子カルテを導入します。
*1:https://www.mhlw.go.jp/content/12600000/001163650.pdf(PDF)
医療DXの最大の課題は、セキュリティ対策。増え続けるランサムウェア被害

医療DXが完全に実現すれば、生活者の医療体験は圧倒的に便利になり、医療従事者の働きやすさにもつながります。その一方で、大きな課題となっているのが「セキュリティ対策」です。システムが相互につながるということは、どこか1か所でサイバー攻撃の被害があると、ドミノ倒しで被害が広がりかねません。
さらに昨今では、医療機関を標的としたランサムウェア攻撃が深刻な被害をもたらしています。ランサムウェアとは、組織のネットワークに侵入し、システム内のデータを暗号化して使用できない状態にしてしまうマルウェアです。攻撃者は、暗号化したデータの復旧を名目に身代金を要求します。攻撃者はさらにデータを窃取して「身代金を支払わなければデータを公開する」という二重の恐喝を仕掛けてくることもあります。
近年のランサムウェアは、ネットワークを経由して感染を広げる「ラテラルムーブメント(横展開)」と呼ばれる手法が主流となっています。他のシステムやバックアップデータ、専用線で接続されているグループ会社や取引先にまで被害が及ぶ可能性があります。
恐喝を受けた場合に問題となるのが、「身代金支払いに応じるべきか」という点です。セキュリティ専門機関であるJPCERTコーディネーションセンター(JPCERT/CC)では、「身代金交渉に応じず、バックアップから復旧する」という方針を示しています*2。これは次の理由によるものです。
- 暗号化されたデータが復旧される保証がない
- 被害原因や被害範囲の特定がされないままになってしまう
- 他の攻撃を受ける可能性がある
身代金交渉に応じない場合、重い負担となるのが復旧作業です。これまでの事例を見ると、完全に復旧するまでに数か月かかることもあり、復旧までの間に通常診療や救急外来の受け入れ停止、手術の延期を余儀なくされる事例も少なくありません。
*2:https://www.jpcert.or.jp/magazine/security/ransom-faq.html
「医療情報システムの安全管理に関するガイドライン改定5つのポイント」をわかりやすく解説
昨今の医療現場では、クラウドサービスの普及や医療DXの進展など、医療情報システムを取り巻く環境が大きく変化しています。また、医療機関を狙ったランサムウェアなどによるサイバー攻撃も深刻化しており、こうした新たなセキュリティリスクへの対応や、外部委託時の責任分界の明確化など、より実効性のある安全管理措置を講じる必要性が高まっています。これらを踏まえ、厚生労働省では「医療情報システムの安全管理に関するガイドライン」を改定し、第7.0版を公表しました。
2023年5月に公開された第6.0版から内容が見直された今回の第7.0版は、医療機関などの特性や役割に応じて参照しやすいよう、以下の分冊で構成されています。
- 概説編
- 経営管理編
- 企画管理編
- システム運用編
- 保守委託機関編
さらにガイドラインのうち、医療機関などが優先的に取り組むべき事項を「令和8年度版医療機関等におけるサイバーセキュリティ対策チェックリスト(以下、チェックリスト)」にまとめています。チェックリストについては、令和8年度中にすべてのチェック項目に「はい」と回答できるように事業者と連携して取り組む必要があります。
ガイドライン第7.0版の主な改定ポイントは5点あります。
-
「保守委託機関編」の新設
これまでのガイドラインでは、システムの安全管理責任は原則として「医療機関側」にありました。しかしITの専任担当者がいない中小規模の病院やクリニックが、自力で高度なセキュリティを管理するのは困難です。そこで第7.0版では「保守委託機関編」が新設されました。すべてのサーバー(クラウドサービスを含む)におけるセキュリティアップデートを委託している場合は、保守委託機関編と概説編を遵守することで、他編の項目も遵守しているとみなされます。
-
安全基準等策定指針等への対応
国家サイバー統括室が策定する「安全基準等策定指針」が改定されたことにより、ガイドラインにおいても対応するべき項目が追加されました。具体的には「関連する法令として、サイバーセキュリティ基本法を追加」「サプライチェーンリスクへの対策を追加」などが挙げられます。 -
クラウドサービスの積極的な活用を推進
クラウドサービスを活用することにより、リスクや脅威への対応を事業者側にゆだねることができるため、保守委託機関編ではクラウドサービスの積極的な利用を推奨する旨が明記されました。 -
パスワード要件の見直し
パスワードルールに関して、「異なる医療情報システムにおいて、パスワードの使い回し禁止」「アカウントロックの導入」が追加されました。一方で、セキュリティ面の強化につながらないとされる「定期的な変更」が削除されました。 -
二要素認証の対象を明確化
ガイドラインの第6.0版では「二要素認証の実装を義務化」が明記されました。令和9年度時点で稼働が想定される医療情報システムを、今後新規導入、または機器の入替などを伴うシステム更改をするタイミングで、二要素認証を採用することが求められています。さらに第7.0版においては、二要素認証の対象を以下のように明確化しました。- 端末のアプリケーションログイン時
- サーバーのOSログイン時
現状把握できているか、改めて確認を!システム運用担当者がまずやるべきこと
第7.0版の改定に対応するために、システム運用担当者がまずやるべきこととしては、以下の点があります。
- 二要素認証の導入
- パスワード運用の見直し
そして、これらの改定に対応するための大前提として、ネットワークに接続されているすべての機器を「漏れなく把握していること」が極めて重要になります。二要素認証を導入した場合においても、把握していない機器があれば脆弱性を突かれて攻撃される可能性があります。どの機器がどのネットワークに接続されているのか把握できていれば、万一サイバー攻撃の被害を受けた場合に、影響範囲を特定して被害を最小化することが可能です。
ネットワークが複雑化する中ですべての機器を洗い出し、許可なく接続された機器や脆弱なOSの端末を常に監視するのは簡単ではありません。ネットワークについてはベンダー任せになっていたり、部門ごとにネットワークを構築したベンダーが異なり、導入した機器が把握しきれないケースもあります。長い歴史の中で継ぎ足されたシステムになっていて全容が把握できないケースもあるでしょう。
こうした状況で現状を効率的に把握するには、自動化ツールの活用が有効です。運用の負荷を抑えながら、ネットワークに接続されている端末を常に最新の状態で把握しやすくなります。
医療機関のネットワークと機器の現状把握からセキュリティ対策まで行える「iNetSec SF」とは?
iNetSec SFは、ネットワークに接続されている機器を自動で見える化し、不正機器の接続を防止するツールです。iNetSec SF センサーを接続するだけで、PCやタブレット、プリンター、IoT機器にいたるまで、ネットワーク上のすべてのIT機器の情報を自動で収集・リスト化するため、台帳作成の手間が大幅に削減できます。機器の種別やOS種別なども自動で判定し、一覧でスムーズに確認できます。また、管理外の機器が接続された際には自動で遮断する機能も備えています。
多くの医療機関のお客様が実際に効果を感じているのが、「管理作業の効率化」です。医療現場ではシステム管理者が他の業務を兼任しているケースも多く、管理負担を大幅に軽減できる点が高く評価されています。また、医療機関が使用する機器の中には専用ソフト(エージェント)をインストールできないものも少なくありません。その点、エージェントレスで動作するiNetSec SFは、まさに医療現場に最適なソリューションと言えます。
iNetSec SFは、ガイドライン 第7.0版の遵守事項において、主に以下の項目に対応しています。
- システム運用編「8.利用機器・サービスに対する安全管理措置」⑥(3)
- 使用を終了・停止したIoT機器について、端末と同様にIT機器の情報を自動で収集し、ネットワークに接続したまま放置することを防止します。
- システム運用編「8.利用機器・サービスに対する安全管理措置」⑦
- 医療情報システムで使用する情報機器について定期的な棚卸をする際に、iNetSec SFで情報を収集できます。
- システム運用編「13.ネットワークに関する安全管理措置」⑤
- iNetSec SFは、管理外の機器による接続を遮断することができます。また、新規に接続する機器については、利用者からの申請と管理者の承認を経て接続を許可する運用にも対応できます。
- システム運用編「13.ネットワークに関する安全管理措置」⑬
- iNetSec SFは、無線LAN環境における接続機器の管理に対応しています。ガイドラインでも言及されているように、昨今のスマートフォンは、プライバシー保護の観点からMACアドレスをランダムに変動させる機能(ランダムMACアドレス)が標準化されています。これに対し、iNetSec SFはランダム化されたMACアドレスを持つ機器を的確に把握・制御できます。院内Wi-Fiの利用時には端末固有のMACアドレスで接続するよう促すことで、確実な識別・承認によるMACアドレス認証が行えるようになり、再申請の手間を抑えた効率的な運用を可能にします。また、院外では従来どおりランダムMACアドレスによるプライバシー保護を維持できるため、この課題に対して有効です。
サイバー攻撃は、脆弱な端末、管理されていない端末を利用してネットワークに侵入するケースが多くなっています。医療情報システムを守るため、iNetSec SFをぜひご活用ください。