厚生労働省(以下、厚労省)は5月29日に開催された第32回「健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ」(以下、WG)で、「医療情報システムの安全管理に関するガイドライン(GL)第7.0版」の改定内容やサイバーセキュリティ対策チェックリスト案を示し、おおむね了承された。厚労省は、2023年7月に国家サイバー統括室(NCO)が策定した「重要インフラのサイバーセキュリティに係る安全基準等策定指針」の改定が大きく関与して、今回の改定に至り、対応すべき項目を追記したと説明。主な追記内容として、▽サイバーセキュリティ基本法、▽サプライチェーンリスク――などを挙げた。また、主な改定内容として、パスワード運用については、▽使い回しの禁止・アカウントロックの導入の追記、▽セキュリティ面の強化につながらないとされるパスワードの定期的な変更の要件の削除――などを示した。このほか、二要素認証の対象が明示されていないことへの対応として、▽二要素認証の導入について、医療情報システムのうち、クライアント端末およびサーバーについて対応することを明確化、▽2027年4月1日時点で対応が困難な医療機関等について、次期システム改修での対応を許容する旨の緩和措置を設定――することなどを例示した。また、厚労省は、約150ページに及ぶガイドラインについて、専門人材が不足する小規模医療機関等では、セキュリティ対策の読解や対応が困難と判断。そのため、全てのサーバーにおけるセキュリティアップデートを委託(クラウドサービス利用を含む)している医療機関等については、約30ページの「保守委託機関編」を遵守することで、他の編の項目についても遵守していると見なすものとした。また、今回のWGでは、2026年度版のサイバーセキュリティ対策チェックリストについて、厚労省からチェックリスト案が提出され、了承された。主な変更点としては、これまで別途作成していた薬局確認用チェックリストについて、医療機関確認用と項目内容が一致していることから統合し、「医療機関等確認用」とする。そのほか、厚労省は、システム・サービス供給事業者などに対するサイバー攻撃が続いているため、サプライチェーンリスクに関連する事業者確認項目等も追加するとした。病院の医療情報システム安全管理責任者、資格保持割合は16%と低調このほか、今回のWGでは、病院における医療情報システムのサイバーセキュリティ対策の調査結果が報告された。調査は2026年3月9日から4月24日に、8,102施設を対象に実施された(有効回答数5,736施設:70.8%)。まず、医療情報システム安全管理責任者を設置している施設割合は、全体で86.3%と報告された。一方で、安全管理責任者数の情報処理資格の保持割合は16.3%にとどまることが判明。また、院内の情報システム部門の所属人数は、ゼロ人の病院が最多だった。ただし、ゼロ人の割合は減少しており、各部門におけるセキュリティ担当者の配置割合なども微増していると、厚労省は強調した。次に、二要素認証を導入している病院の割合は、10.5%と、2025年調査の10.4%とほぼ横ばいの結果に。未導入の理由として、「システム自体が未対応であること」「病院の予算不足」が多かった。また、導入費用については、1000万円から3000万円程度が最頻値だった。なお、電子カルテの導入割合は、74.2%と増加していることも報告された。こうした報告を受け、構成員からは「二要素認証が2027年の4月から義務化される。対応しているシステムがベンダーからリリースされていないケースも少なくない。ベンダーが対応してくれないと病院や薬局では対応しようがない」「大規模病院はサイバー対策が徐々に進んでいるが、小規模病院はまだまだ。クリニックなどの施設について課題を把握しているのか」との指摘があった。厚労省は、二要素認証についてはベンダーに周知したいとの考えを示し、調査については診療所や薬局も検討すると回答するにとどめた。(HealthDay News 2026年6月10日).参考文献https://www.mhlw.go.jp/stf/newpage_73213.html Copyright © 2026 HealthDay. All rights reserved. カテゴリー:医療DX
