病院や診療所、助産所におけるサイバーセキュリティ確保のための取組は、医療法第25条第1項に基づく立入検査の確認項目となっています。また、薬局についても同様で、薬機法に基づく立入検査にて確認が実施されます。

　これら立入検査で用いられるチェックリストの2024年度版が公開されています。

　チェックリストには、「医療機関確認用」「薬局確認用」と、事業者と契約している場合に用いる「事業者確認用」があります。ここでは、「医療機関確認用」を2023年度版と比較し、2024年度版で追加された事項を確認したいと思います。

「医療機関確認用」チェックリストに追加された事項

サーバについて

1. セキュリティパッチ（最新ファームウェアや更新プログラム）を適用している。
2. バックグラウンドで動作している不要なソフトウェアおよびサービスを停止している。

端末PCについて

1. 利用者の職種・担当業務別の情報区分ごとのアクセス利用権限を設定している。
2. 退職者や使用していないアカウント等、不要なアカウントを削除している。
3. セキュリティパッチ（最新ファームウェアや更新プログラム）を適用している。
4. バックグラウンドで動作している不要なソフトウェアおよびサービスを停止している。

インシデント発生に備えた対応

1. インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している。
2. サイバー攻撃を想定した事業継続計画（BCP）を策定している。

　チェックリストとマニュアルは、以下の厚生労働省のホームページよりダウンロードできます。

［参考］
　厚生労働省「医療情報システムの安全管理に関するガイドライン　第6.0版」