・2省ガイドラインとの整合性を図るための医療機関等と事業者との役割分担記述の追加
・小規模医療機関を対象にセキュリティ外部委託時の考慮事項をまとめた保守委託機関編の新設
・パスワードの定期変更要件の削除と使い回し禁止およびアカウントロック導入の追記
・令和9年度からの二要素認証義務化に伴う対象の明確化と未対応時の猶予緩和措置の設定
第7.0版への繰り上げと安全基準等策定指針への対応
5月29日、医療等情報利活用ワーキンググループにて、「医療情報システムの安全管理に関するガイドライン」第7.0版の案が公表されました。
安全管理ガイドラインは、2026年5月時点で第6.0版を最新版として運用されています。同年3月に、第6.1版の案についてパブリックコメントの募集が行われており、5月に確定される予定となっていましたが、この度「第7.0版」へと版を繰り上げ、大幅な改定として取り扱われることになりました。
第7.0版の案の内容は、当初の第6.1版と方向性に大きな差はなく、一貫した方針となっており、主に次のような背景から改定内容が作成されています。
国家サイバー統括室が策定する「安全基準等策定指針」が改定されたことを受け、安全管理ガイドラインにおいても対応すべき項目を追記する方針としています。例としては、安全管理ガイドラインが関連する法令に「サイバーセキュリティ基本法」を追加することや、サプライチェーンリスクを追記することなどが挙げられます。
このほか、経済産業省と総務省の策定する「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」、いわゆる「2省ガイドライン」との整合性を図るため、「医療機関等と事業者との役割分担」に関する記述が追加される予定です。
保守委託機関編の新設と運用ルールの見直し
今回のガイドライン改定の大きな特徴のひとつに、「保守委託機関編」の新設が挙げられます。セキュリティ人材が特に不足する小規模医療機関を主な対象として、クラウドサービスを積極的に活用し、セキュリティ対策を適切に外部事業者に委託する際の考慮事項について、項目がまとめられています。
単純なパスワードや使い回し等によるサイバー攻撃被害が発生していることを受け、パスワードのルールに関して、使い回しの禁止やアカウントロックの導入について追記されています。一方で、パスワードの「定期的な変更」はセキュリティ面の強化にはつながらないとされるため、今回の改定案では要件から削除されています。
二要素認証の義務化と緩和措置
令和9年度からの二要素認証の義務化に伴い、医療情報システムのうち、クライアント端末およびサーバについては対応が必要である、といった対象の明確化が行われています。同時に、令和9年4月1日時点で対応が困難な場合は、次期システム改修での対応を許容するといった緩和措置が設定されています。
同時に、令和8年度版のサイバーセキュリティ対策チェックリストの案も公表されており、ガイドラインと合わせて策定に向けた準備が進められています。
