医療機関等のサイバーセキュリティ義務化

医療法施行規則の改正により、4月から、病院、診療所または助産所の管理者に対し、サイバーセキュリティ対策が義務付けられています。規模を問わず、すべての診療所等が対象です。どのような対応が求められるのでしょうか？

●何をすればよいの？
　具体的には、次の義務や責任を果たせる体制を整えることが求められます。
①医療情報の取り扱いやシステムの安全管理に関する法令上の遵守事項や義務など
②安全管理上の説明責任や管理責任など、通常時や非常時における責任
③医療情報や医療情報システムに関して委託や第三者提供を行う場合の責任

では順に見ていきましょう。
①法令上の遵守事項や義務
　個人情報保護法の他、医師法等の医療関係法令を遵守する必要があります。
秘密漏洩については刑法等、診療契約等については民法上の責任も生じます。
さらに、文書等の電子保存や電子署名等について規定する法律にも留意しなければなりません。

②通常時や非常時における責任
　通常時は、説明責任や管理責任、定期的な見直し、改善を行う必要があります。
情報漏洩やシステム障害時の非常時には、説明責任や善後策を講じます。

③委託や第三者提供における責任
　利用する医療情報システム・サービスの導入や保守などについて、委託先事業者との契約にて、委託する内容や非常時の役割分担、責任の所在を明確にし、適切な共同体制を構築することが求められます。

　大きな組織においては、これらの責任を組織で分担することになりますが、診療所や歯科診療所、薬局などでは、情報管理の専任スタッフを置かず、院長や事務長等がその役割の大半を担っていることが少なくありません。この場合は、緊急時には誰が代行するのかなど、属人的な対策も必要となります。
　2023年現在、ガイドラインの策定が進められています。