厚生労働省(以下、厚労省)は6月6日付で、「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表」「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き」と、事業継続計画(以下、BCP)のひな形を公開、通知した。これらは、2023年4月から医療法に基づく医療機関への立入検査の項目にサイバーセキュリティ対策が追加されたことに対応するものだ。
厚労省はすでに5月、2024年度版の「医療機関におけるサイバーセキュリティ対策チェックリスト」などを作成、発出しており、そのチェックリストには「サイバー攻撃を想定した事業継続計画(BCP)を策定している」という項目がある。また、2024年度診療報酬改定で見直しが行われた一般病棟などの入院基本料である診療録管理体制加算1(140点)では、施設基準において、非常時を想定した医療情報システムの利用が困難な場合の対応や復旧に至るまでの対応についてのBCPを策定することが、要件の1つとなった。
厚労省は以前から、各医療機関に対して、災害などを想定した組織全体のBCPの策定を求めていて、すでに多くの施設でその策定はできている。一方、今回の「サイバー攻撃を想定した事業継続計画(BCP)」は、医療情報システム部門のBCPと位置付けられていて、(1)平時、(2)検知、(3)初動対応、(4)復旧処理、(5)事後対応――というように、時間軸で全体をまとめる。(2)の「検知」では、医療情報システムや医療機器の障害が見受けられる場合、早期に医療情報システム安全管理責任者へ報告し、異常内容の事実確認を行う。また、(4)の「復旧処理」では、医療情報システムの事業者、サービス事業者などと協力して行うことなどを記載する。(HealthDay News 2024年6月19日)
参考文献
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
Copyright © 2024 HealthDay. All rights reserved.
カテゴリー:行政からの情報公開・通達
