医療機関におけるサイバーセキュリティ対策は、患者の個人情報、健康情報や医療データなど機密データを守るために重要です。医療機関が取るべきサイバーセキュリティ対策の主なものとして、以下が挙げられますが

従業員のセキュリティ意識向上トレーニング、災害復旧と事業継続計画などアナログな対策も重要です。これらの対策は、医療機関が直面するサイバーセキュリティの脅威に対して包括的な防御を構築するために不可欠ですが、サイバーセキュリティは継続的なプロセスであり、技術の進化とともに対策も進化させる必要があります。

以下に、医療機関が取るべきサイバーセキュリティ対策と関連情報をまとめてみましょう。

1. 厚生労働省サイバーセキュリティ対策への指針

法令と規程

医療法施行規則が改正され、医療機関におけるサイバーセキュリティ対策の強化が求められています。

厚生労働省が定める「医療情報システムの安全管理に関するガイドライン」は、医療機関が患者の健康情報を安全に管理し、プライバシーを保護するために従うべき一連の原則と実践方法を提供しています。

令和5年5月の改定（6.0版）では、クラウドサービスの特徴を踏まえたリスクや対策の考え方を整理するとともに、医療機関等のシステム類型別に責任分界の考え方等を整理するなど、時流に合った内容へ常にバージョンアップがされています。

連絡先と報告

上記「医療情報システムの安全管理に関するガイドライン」では、医療機関がサイバー攻撃を受けた際の連絡先の提供も行っています。医療機関は所管省庁への連絡や必要な対応を行う体制を整備する必要があります。

また、サイバー攻撃により患者の医療情報など個人情報が漏洩した場合、個人情報保護委員会への報告が必要です。

（参考）厚生労働省：医療分野のサイバーセキュリティ対策について

研修と教育

厚生労働省は、医療機関向けのセキュリティ対策研修を提供しています。医療機関の経営層や医療従事者など階層別の研修を通じてサイバーセキュリティ対策を強化できます。これらの対策を遵守することで、医療機関はサイバー攻撃から患者のデータを守り、信頼性のある医療サービスを提供できるでしょう。

2. 医療機関のサイバーセキュリティ具体的な対策

医療機関のサイバーセキュリティ対策は冒頭でご紹介していますが、「サプライチェーンリスク全体の確認」と言い換えることもできます。これは、医療機関が使用するすべてのIT製品やサービス（ソフトウェア、ハードウェア、クラウドサービスなど）を提供する供給業者やパートナー企業を含むサプライチェーン全体にわたるセキュリティリスクを評価、管理するプロセスを指します。

サプライチェーンリスク全体の確認

このアプローチは、医療機関自身のセキュリティ対策だけでなく、外部から提供される製品やサービスがもたらすリスクにも目を向けることを意味します。具体的にどのようなものなのかご紹介します。

サプライチェーンを通じたリスクは、一つの脆弱なリンクによって全体のセキュリティが損なわれる可能性があります。そのため、医療機関では、サプライチェーン全体を通じたリスク管理を通じて、患者情報の安全性を高め、サイバー攻撃による影響を最小限に抑える必要があります。

3. 医療機関のサイバーセキュリティ対策にお勧めのツール

医療機関のサイバーセキュリティ対策においては、患者データの保護、システムの安定稼働、サイバー脅威からの防御が最優先事項です。以下に、医療機関に推奨されるいくつかのサイバーセキュリティツールとその機能を紹介します。

閉域網での接続なら「NetSupport」

NetSupport Managerは、離れた場所にある多数のパソコンやサーバーを管理者のパソコンで遠隔操作ができる、リモートコントロールに適したソフトウェアです。

オンプレミス型ソフトウェアのため、インターネットに接続しない環境（閉域網・クローズドネットワーク）でも利用できます。外部から直接アクセスできない閉域網は、インターネットを経由したサイバー攻撃を防ぐことができるため、医療機関や金融機関、製造工場など高いセキュリティレベルを必要とする業種で数多くの導入実績があります。

その他、安全な接続を実現できる機能が豊富です。

遠隔操作(リモートコントロール)ソフトウェアNetSupport Manager 製品紹介ページ

包括的な対策が重要

適したツールを組み合わせて使用することで、医療機関は包括的なサイバーセキュリティ対策を構築できます。それぞれのツールが特定のセキュリティニーズに対応しており、相互に補完しながらより強固な防御体制を築くことが可能です。選択する際には、医療機関の規模、インフラ、特定のリスクプロファイルに最適なソリューションを選定することが重要です。