|
厚生労働省より、2026年度版の「医療機関・薬局におけるサイバーセキュリティ対策チェックリスト」が公表されました。
今回のチェックリスト改定では、これまで分かれていた医療機関編と薬局編が統合され、同一のチェックリストとなっています。
主な改定項目は以下のとおりです。
クラウドネイティブ型電子カルテの導入の推進
システム導入や運用におけるセキュリティ対応には、高い専門性が求められます。その対策として、クラウドネイティブ型電子カルテの活用を推進する旨が追記されました。
パスワードルールについて
パスワードルールに、使い回しの禁止と、アカウントロックの導入について追記されました。一方で、セキュリティ面の強化につながらないとされる「定期的な変更」の要件が削除されました。
二要素認証の導入については、医療情報システムのうち、クライアント端末やサーバ等について対応することが明確化されました。しかし、医療機器については二要素認証の実装が困難な機器も多いことなどを踏まえ、今回の改定では対応が見送られています。具体的には、2027年4月1日時点での対応が困難な医療機関等においては、次期システム改修での対応は許容する旨の緩和措置がとられました。
セキュリティの専門人材がいない小規模医療機関への対応
専門人材が不足する小規模医療機関向けには、「医療機関等保守委託機関編」(保守委託機関向けのチェックリスト)が新たに策定されています。サーバのセキュリティアップデート等を保守委託している医療機関等では、この編を遵守することで、他の編の該当事項も遵守しているものとみなされます。
チェックリストやマニュアル、ガイドラインは、以下のサイトでご覧いただけます。
[参考]
厚生労働省「医療情報システムの安全管理に関するガイドライン 第7.0版」