セキュリティ特集
厚生労働省から公開された「医療情報システムの安全管理に関するガイドライン」に関する内容には、医療機関が喫緊で取り組むべき新たな重要項目が追加されました。
これまでのガイドラインで示唆されてきた二要素認証の必要性や、情報漏洩リスクの高いUSBストレージ等の外部記録媒体への接続制限が明確にチェック項目として加わったことで、医療機関が準拠すべき対策のハードルは上がったと感じるかもしれません。
この記事では、改訂されたガイドラインの内容、そしてチェックリストに追加された具体的な項目を詳しく解説します。さらに、これらの厳格化された要件に対し、現在お使いの医療情報システムに二要素認証などのセキュリティ機能をスムーズに追加できる「ARCACLAVIS(アルカクラヴィス)シリーズ」がどのように医療機関の課題解決に貢献できるかや、導入にあたっての費用の目安をご紹介します。
この記事でわかること
- 医療情報システムの安全管理に関するガイドラインの概要とその重要性、 策定された時期と最新版の更新日
- 医療機関におけるサイバーセキュリティ対策チェックリストの概要、 役割、および最新版の公表日
- 医療情報システムの安全管理に関するガイドライン 第6.0版 および 令和7年度版 医療機関におけるサイバーセキュリティ対策チェックリスト で新たに追加された重要な要件(二要素認証とUSBストレージ等の接続制限)について
- ガイドラインやチェックリストに準拠せずセキュリティ対策を行わなかった場合に、医療法に基づく指導や個人情報保護法に基づく勧告・命令、さらには民事上の損害賠償責任を問われる可能性があること
- 両備システムズが提供する「ARCACLAVISシリーズ」 が、既存の医療情報システムに二要素認証などのセキュリティ機能をスムーズに追加できること、およびその具体的な導入メリットと実装パターン。
「医療情報システムの安全管理に関するガイドライン」とは
医療情報システムの安全管理に関するガイドラインは、厚生労働省が策定している、医療機関における情報セキュリティ対策の包括的な指針です。簡単に言えば、患者さんの大切な医療情報を守り、安全で適切な医療を提供するために、医療機関が講ずべき情報セキュリティ対策の基準と何をするべきかをまとめています。
このガイドラインは、サイバー攻撃の高度化や情報漏洩のリスク増大といった近年の状況を踏まえ、定期的に改訂が行われています。
ガイドラインの改訂状況
医療情報システムの安全管理に関するガイドラインは、以下のように改訂されています。
- 2005年(平成17年)3月 「第1版」
- 継続的に改訂が繰り返される
- 最新版:2023年(令和5年)5月 「第6.0版」
最新の「第6.0版」では、オンライン資格確認の原則義務化に伴う新たな要件や、より実践的なセキュリティ対策の重要性が強調されています。
主な目的は、医療機関が以下の点を確実に実施することにあります。
ガイドラインへの対応について 何をするべきか知りたいと思ったら
立ち入り検査時に対策状況を確認する
「医療機関におけるサイバーセキュリティ対策チェックリスト」とは
医療機関におけるサイバーセキュリティ対策チェックリストは、医療機関の情報セキュリティ状況を確認するためのチェックツールです。
これは、医療情報システムの安全管理に関するガイドラインに基づき、特に優先して取り組むべき対策項目が具体的にリストアップされています。
このチェックリストは、医療法に基づく立ち入り検査で活用され、各医療機関が自身のサイバーセキュリティ対策の現状を把握し、必要な改善を進めるための「支援・助言」ツールとしても機能します。
令和7年度版 医療機関におけるサイバーセキュリティ対策チェックリスト(厚生労働省ウェブサイト)
令和7年度版 医療機関におけるサイバーセキュリティ対策
チェックリストに追加された、知っておくべき2つのポイント
令和7年度版チェックリストにおいて、特に注目すべき追加項目は以下の2点があげられます。
二要素認証やUSBストレージの接続制限といった新たな項目が追加され、より実効的なセキュリティ強化が求められています。
このチェックリストに追加された項目は、費用負担が伴うことがあり、医療機関や医療機関向けシステムメーカーから問い合わせが多い点でもあります。
これらの項目は、医療機関が直面するサイバーセキュリティの脅威に対し、より具体的な対策を講じることを促しています。
ガイドラインに準拠しない場合のペナルティについて
「医療情報システムの安全管理に関するガイドライン(第6.0版)」のFAQによると、ガイドラインを遵守しなかった場合、直接的な罰則はまだありませんが、罰則が適用されるおそれがあるとされています。
経Q-4 このガイドラインを遵守しなかった場合、課せられる罰則等やe-文書法以外に抵触する法令はあるのか。
本ガイドラインは、e-文書法が医療分野において執行される際の指針となります。ガイドライン自体に罰則はありませんが、ガイドラインに違背した状態は、法令を遵守していないとみなされる可能性があります。本ガイドラインには、法令により要求されている事項等が列挙されています。したがって、これに違背することにより、e-文書法に求められる要件を満たすことができていないと認められる場合には、医療に関係する多くの法令等に違反したとみなされ、その罰則が適用されるおそれがあります。
引用:医療情報システムの安全管理に関するガイドライン(第6.0版)19P
経Q-4 このガイドラインを遵守しなかった場合、課せられる罰則等やe-文書法以外に抵触する法令はあるのか。
ただし、ガイドラインの遵守は医療機関の義務であり、令和7年度版チェックリストの項目は医療法に基づく立ち入り検査で確認される予定です。
健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループの議事録では、立ち入り検査は「ペナルティを課すのではなく、支援・助言を行うための検査」として位置づけられているとされていますが、セキュリティ対策が不十分な場合、サイバー攻撃による診療停止、信頼性失墜、減収・損失といった甚大な影響が発生するリスクが強調されています。
二要素認証システム(多要素認証システム)にかかる費用の目安
二要素認証ソリューション「ARCACLAVIS(アルカクラヴィス)シリーズ」は、医療機関様のご要望にあわせて、
さまざまな構成でのご提案が可能です。
HIS系を含む院内全体への二要素認証対策だけでなく
特定の部門システムへの段階的な導入提案も可能です。
お問い合わせをいただければ、医療機関様への導入費用をお答えいたします。
医療機関への導入費用をお答えします
二要素認証(多要素認証)の導入や、費用に関する疑問にお答えします。
専門のエンジニアが丁寧にヒアリングし付帯内容も含めてご提案。
既存のシステムを変えずにセキュリティを強化できる
多様な認証方式を持つ ARCACLAVIS(アルカクラヴィス)
「医療情報システムの安全管理に関するガイドライン」への対応は喫緊の課題であるものの、
「現在利用している医療情報システムに二要素認証を追加するのは難しいのでは?」
「大規模なシステム改修が必要になるのでは?」
といったご懸念をお持ちの医療機関も少なくありません。
両備システムズが提供する二要素認証ソリューション「ARCACLAVISシリーズ」は、医療機関で現在ご利用中のシステムに、後から問題なく追加導入できることを最大の特長としています。
既存の医療情報システム自体に手を加える必要がなく、アドオン形式で導入できるため、システム停止期間を最小限に抑え、スムーズかつ低コストでのセキュリティ強化を実現します。
※シングルサインオンは導入前に実環境での動作検証が必要です。
簡単な導入と
システム非干渉
大規模なシステム改修が不要なため、導入工数とコストを大幅に削減できます。これにより、医療機関は日々の診療業務に大きな影響を与えることなく、ガイドライン準拠を進めることができます。
柔軟で
多様な認証方式
ICカード認証や顔認証など、医療現場のワークフローやセキュリティポリシーに合わせた多様な認証方式を選択できます。医師や看護師の業務負担を考慮した最適な方法を選べることが、現場でのスムーズな定着を促します。
既存システムとの
連携強化
既存のActive Directoryと連携することで、ユーザー管理の一元化と負荷軽減を実現します。新たなアカウント管理システムを導入する手間がかからず、既存のリソースを有効活用できます。
セキュリティと
監査対応の強化
いつ、誰が、どのシステムにアクセスしたかの詳細なログを自動で取得・管理します。これにより、不正アクセスに対する抑止力向上はもちろん、万が一のインシデント発生時の原因究明や、セキュリティ監査への対応を強力にサポートします。JAHIS「MDSチェックシート」の二要素認証項目にも対応しており、ガイドラインへの確実な準拠をサポートします。
医療現場に最適化された実装パターン
ARCACLAVISシリーズは、医療現場の多様なニーズに合わせた様々な二要素認証の実装パターンを提供し、医療機関の運用に合わせた最適なセキュリティ環境を構築できます。
端末ログイン時の二要素認証
PCへのログイン時に、ID/パスワードに加えてICカードや生体情報で認証を行います。
PC自体への不正アクセスを水際で防ぎ、情報への最初の入り口を強固にします。
医療情報システム起動時二要素認証
PCログイン後、電子カルテやオーダリングシステムなど、特定の医療情報システムを起動する際に、改めて二要素認証を求めることで、より厳格なアクセス制御を実現します。
これにより、機密性の高い情報へのアクセスを二重に保護します。
シングルサインオン(SSO)連携による利便性向上
複数の医療システムを利用している場合でも、一度の二要素認証で連携するシステムへのアクセスを可能にします。
セキュリティを強化しつつ、医療従事者の認証手間を軽減し、業務効率を損ないません。
※シングルサインオンは導入前に実環境での動作検証が必要です。
医療機関が直面するセキュリティ課題に対する「ARCACLAVIS」の特長
1.既存の運用に影響を与えない
2.多様な認証方式に対応
3.実践的で費用対効果の高いソリューション
医療現場に合わせた二要素認証の方式 3つの例
医療機関への二要素認証の導入方法や費用をお答えします
ARCACLAVISシリーズのPCログオン時の二要素認証と、
SSO都度認証での二要素認証の特長
ARCACLAVISシリーズは多数導入実績のある二要素認証ソリューションで、JAHIS「MDSチェックシート」の二要素認証の項目に対応しています
ARCACLAVIS PCログイン時の二要素認証での主な特長
| PCログイン時に「ICカード認証」「顔認証」+「Windowsパスワード」「ARCACLAVIS専用パスワード」を組み合わせ、二要素認証の実装が可能です。 |
| ARCACLAVIS専用パスワードはガイドラインにあわせて、パスワードの長さ、複雑さ(英大文字小文字、数字、記号)を設定することができます。 |
| 共有IDを利用する環境でも、二要素認証実行時「ICカード」「生体」に紐づいたARCACLAVIS専用IDがログに保存されることにより、利用者の特定が可能です。 |
ARCACLAVIS シングルサインオン都度認証での二要素認証の主な特長
| 医療情報システムの認証画面が出現すると、ARCACLAVISが二要素認証を要求します。この時「ICカード認証」「顔認証」+「ARCACLAVIS専用パスワード」を組み合わせ、二要素認証の実装が可能です。 |
| ARCACLAVIS専用パスワード、共有ID環境での利用者特定もログイン時と同様に可能です。 |
まとめ
医療機関での二要素認証の導入は、患者の診療情報をはじめとする機微な個人情報を含む医療情報を守るためにも非常に重要です。
以下に、医療現場で二要素認証(多要素認証)が必要とされる理由を列記します。
医療情報の保護
患者の健康状態や診療に関する内容は、非常に機密性の高い情報となっています。二要素認証は、不正アクセスから医療情報を守るための有力な手段といえます。
医療機器の制御の安全性
現代の医療機器は、ネットワークに接続されているものが増えています。これらの機器が不正にアクセスされると業務に深刻な影響を与える可能性があります。二要素認証は、これらのシステムへの不正アクセスを防ぎ、医療情報の安全性を確保します。
医療情報の改ざん防止
医療情報の改ざんは、業務に深刻な影響を与える可能性があります。二要素認証は、認証プロセスのセキュリティを向上させ、医療情報を改ざんから保護します。
抑止力の向上
二要素認証の導入で、内部の不正アクセスや情報漏洩を防ぐことができます。また導入により抑止力の向上につながることも考えられます。
医療機関における二要素認証の事例
ARCACLAVISシリーズは、医療機関のご要望にあわせて、さまざまな構成での導入実績があります。
病院全体の電子カルテ端末(HIS系)へ二要素認証とシングルサインオンの導入だけでなく、特定の部門システムに限定した、段階的な導入も可能です。
共有のクライアントPCを複数のユーザで共用する運用形態でも、端末に「誰が」「いつ」アクセスしていたのかを把握できる仕組みを実現しています。下記に代表的な事例を紹介します。
「共立蒲原総合病院」様
調剤システムにおける二要素認証
人気記事
カテゴリ
