「×」は未整備項目の見える化
重要なのは、×を問題視することではなく、未整備項目を明確にし、いつまでに、誰が、どの証跡をもって○にするかを決めることです。
Reiwa 8 Checklist Readiness
令和8年3月末に向けたチェックリスト対応を、実務に落とし込む
チェックリストは「はい・いいえ」を付けるだけの資料ではありません。院内の体制、台帳、委託先管理、日常運用、有事対応、規程類を、確認できる証跡として整えるための実務整理です。
この資料の位置づけ
厚生労働省の医療情報システム安全管理ガイドライン第6.0版、令和7年度版チェックリスト、令和8年3月末時点の調査要領をもとに、医療機関が「何を確認し、何を整備すればよいか」を院長・事務長・情報システム担当者向けに整理した解説資料です。
1
Chapter 1
まず押さえるべき考え方
Basic Policy
チェックリストは、単に「はい・いいえ」を付けるためのものではありません。医療情報システムを安全に使い続けるために、院内の体制・台帳・委託先管理・日常運用・インシデント対応・規程類を、確認可能な形に整えるためのものです。
- 院内だけで判断しにくい技術項目は、電子カルテ・レセコン・部門システム・ネットワーク機器の保守ベンダーに確認する。
- 複数の医療情報システムを利用している場合は、システム提供事業者ごとに確認を行う。
- チェックリストは少なくとも年1回点検し、日頃の対策状況の確認に活用する。
- 令和8年3月末時点の状況を説明できるよう、証跡を残しておく。
ベンダー確認を前提に進める
電子カルテ、レセコン、部門システム、ネットワーク機器など、院内だけで判断しにくい項目は保守ベンダーに確認します。
年1回の点検と証跡管理
日頃の対策状況を継続的に確認し、令和8年3月末時点の状況を説明できる資料を残します。
2
Chapter 2
医療機関側で優先して整える5領域
Five Areas
院内で説明できる状態にするため、まずは体制、台帳・構成、委託先管理、日常運用、有事対応を優先して整えます。
| 領域 | やること | 残すべき証跡 |
|---|---|---|
| 1. 体制 | 安全管理責任者、部門担当、インシデント対応チームを明確にする | 任命記録、体制図、役割分担表 |
| 2. 台帳・構成 | サーバ、端末PC、ネットワーク機器、医療機器、外部接続点を把握する | 機器台帳、ネットワーク構成図、外部接続一覧 |
| 3. 委託先管理 | 保守ベンダーやサービス事業者の対応状況を確認する | 事業者確認用チェックリスト、MDS/SDS、契約・役割分担表 |
| 4. 日常運用 | パッチ、アカウント、MFA、ログ、USB制限、不要サービス停止を運用する | 更新履歴、アカウント棚卸、ログ確認記録、運用手順 |
| 5. 有事対応 | 連絡体制、バックアップ、復旧手順、サイバー攻撃想定BCPを整える | 連絡体制図、BCP、バックアップ記録、訓練記録 |
補足
ポイント
病院側で全てを技術的に解決する必要はありません。ただし、院内として「把握している」「委託先に確認している」「必要資料を回収している」状態にすることが重要です。
3
Chapter 3
「×」を「○」にする具体対応一覧
From X To O
チェックリストで×になりやすい状態を、対応内容と説明に使える証跡に分けて整理します。
| ×になりやすい状態 | ○にするための対応 | 説明に使える証跡 |
|---|---|---|
| 責任者が不明 | 医療情報システム安全管理責任者を任命し、職務を明文化 | 任命書・組織図・職務定義 |
| 台帳がない/古い | サーバ、PC、ネットワーク機器、医療機器を棚卸し | 機器台帳、更新日、管理者、設置場所 |
| 外部接続点が不明 | ネットワーク構成図を更新し、VPN・保守回線・クラウド接続を整理 | 構成図、外部接続一覧 |
| 委託先の状況が不明 | ベンダーに事業者確認用チェックリストとMDS/SDS提出を依頼 | 回収済み資料、未回収リスト |
| パッチ適用が曖昧 | NW機器、サーバ、端末PCの更新状況を確認し、例外管理 | 更新履歴、例外理由、代替策 |
| MFA未導入 | リモート接続、管理者ID、クラウドサービスから優先導入 | 対象一覧、導入記録、未導入理由 |
| アカウントが残っている | 退職者・異動者・不要IDを棚卸し、削除または無効化 | アカウント棚卸表、削除記録 |
| バックアップが不十分 | オフライン/隔離バックアップを確認し、復旧手順を検証 | バックアップ設定、復旧テスト記録 |
| BCPがない | サイバー攻撃時の診療継続・連絡・復旧手順を文書化 | BCP、連絡体制図、訓練記録 |
| 規程が未整備 | 上記の運用方法を運用管理規程に落とし込む | 規程、手順書、改定履歴 |
4
Chapter 4
30日で着手する場合の進め方
30 Day Plan
| 期間 | テーマ | 主な実施内容 |
|---|---|---|
| Day 1-5 | 現状把握 | チェックリスト仮回答、院内担当者・ベンダー一覧化、既存資料の収集 |
| Day 6-12 | 棚卸し | PC/サーバ/NW機器/医療機器の台帳化、外部接続点の洗い出し |
| Day 13-18 | 委託先確認 | 事業者確認用チェックリスト、MDS/SDS、保守範囲・責任分界の確認 |
| Day 19-24 | 改善計画 | ×項目ごとに担当者、期限、証跡、暫定対応を設定 |
| Day 25-30 | 経営報告 | 院長・事務長向けにリスク、優先順位、必要予算、次の打ち手を整理 |
補足
短期で重要なこと
最初から完璧を目指すより、まずは「何が分からないのか」を明確にすることが重要です。分からない項目をベンダー確認・台帳整備・規程整備に分けると、次の行動に落とし込みやすくなります。
5
Chapter 5
立入検査・院内説明で見られやすい資料
Evidence
厚生労働省のマニュアルでは、チェックリストの回答に加え、台帳、連絡体制図、BCP、規程類などの現物確認が示されています。院内で保管場所が分散している場合は、まず「どこに何があるか」を一覧化するだけでも大きな前進です。
| 資料 | 整理すべき内容 |
|---|---|
| 機器台帳 | サーバ、端末PC、ネットワーク機器、医療機器の所在・利用者・バージョン・状態を管理 |
| ネットワーク構成図 | 院内ネットワーク、外部接続点、VPN、保守回線、クラウド接続を整理 |
| 連絡体制図 | 院内責任者、部門担当、保守ベンダー、厚労省、警察等への連絡ルートを整理 |
| BCP/復旧手順 | サイバー攻撃やシステム停止時に、診療を継続するための判断・手順を明文化 |
| 規程・手順書 | パスワード、MFA、USB、ログ、パッチ、アカウント、バックアップ等の運用方法を規程化 |
| ベンダー確認資料 | 事業者確認用チェックリスト、MDS/SDS、契約範囲、責任分界の確認資料 |
6
Chapter 6
TSUNAGU Medicalで支援できること
TSUNAGU Medical Support
簡易診断から現状確認、台帳・構成の見える化、改善計画化、規程・BCP・運用整備まで段階的に支援します。
| 支援ステップ | テーマ | 内容 |
|---|---|---|
| STEP 1 | 簡易診断・現状確認 | 公開情報/脆弱性の簡易確認、チェックリスト仮回答、院内ヒアリング |
| STEP 2 | 台帳・構成の見える化 | PC/サーバ/NW機器の棚卸し、外部接続点整理、ベンダー確認事項の洗い出し |
| STEP 3 | ×項目の改善計画化 | 優先順位、担当、期限、必要資料、予算感を整理し、経営判断材料化 |
| STEP 4 | 規程・BCP・運用整備 | 運用管理規程、連絡体制図、BCP、教育・訓練、定例確認の仕組みづくり |
ご相談
ご相談ください
「どこから手を付ければよいか分からない」「院内だけでは技術判断が難しい」「ベンダーに何を確認すべきか整理したい」場合は、まずは簡易診断とチェックリストの読み解きからご支援します。
相談する R
References
参考資料
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」
- 厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリスト(令和7年5月)」
- 厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル(令和7年5月)」
- 「病院における医療情報システムのサイバーセキュリティ対策に係る調査」回答要領(令和8年1月27日付事務連絡)
本資料は、上記公表資料をもとに、医療機関向けに実務上の確認ポイントを整理した参考資料です。実際の対応にあたっては、最新の厚生労働省資料、院内規程、契約内容、各システム事業者の回答を確認してください。