2026 医療機関サイバーセキュリティチェックリスト

厚労省の医療機関サイバーセキュリティチェックリストとは

医療機関向けのサイバーセキュリティチェックリストとは、厚生労働省が医療機関・薬局に優先対応を求める対策項目を整理した自己点検票です。特にクリニックにとっての問題は、「何をどこまで整備すればよいか分かりにくい」点にあります。2026年4月時点で厚労省サイトに掲載されている最新は令和7年度版（2025年5月公表）であり、立入検査時に本チェックリストを確認すると明記されています。

当法人でも、レセコン、電子カルテ、オンライン資格確認、VPN保守が混在する小規模クリニックほど、「ベンダー任せで現況が把握できていない」ケースをよく見ます。チェックリストは高度な技術文書というより、院長や事務長が自院の弱点を見える化する実務ツールと理解すると使いやすくなります。

厚労省チェックリスト2025の要点とクリニックへの影響

厚労省の令和7年度版チェックリストは、大きく「1 体制構築」「2 医療情報システムの管理・運用」「3 インシデント発生に備えた対応」の3区分で構成されています。クリニックにとって重要なのは、単なるIT設定ではなく、責任者配置、台帳管理、バックアップ、連絡体制まで含めて確認される点です。

クリニックが特に見落としやすい項目

令和7年度版では、たとえば次のような項目が明示されています。

• 医療情報システム安全管理責任者の設置
• サーバ、端末PC、ネットワーク機器の台帳管理
• リモートメンテナンス利用機器の有無確認
• MDS/SDSの提出依頼
• 不要アカウントの削除または無効化
• セキュリティパッチの適用
• パスワード管理と使い回し禁止
• USB等の接続制限
• 二要素認証の実装、または令和9年度までの実装予定
• バックアップと復旧手順の確認
• サイバー攻撃を想定したBCPの策定
• 外部関係機関を含む連絡体制図の整備

特に小規模な無床診療所では、院長が安全管理責任者を兼務し、実際の設定はベンダー任せという形が珍しくありません。しかし、責任者を置いただけでは足りず、台帳・権限・連絡体制まで院内で説明できる状態が必要です。

クリニックの自己点検は何から始めるべきか

自己点検の第一歩は、現場の感覚ではなく「機器・アカウント・委託先」を一覧化することです。電子カルテ、レセコン、画像サーバ、NAS、ルーター、Wi-Fi、受付PC、会計PC、VPN装置など、院内で使っている機器を洗い出すだけでも、未管理の資産が見つかることがあります。

自己点検の進め方

Step 1: 責任者と窓口を決める

院長、事務長、外部ベンダーの役割を整理し、厚労省チェックリストの回答主体を明確にします。安全管理責任者が誰か、障害発生時に誰が判断するかを決めます。

Step 2: 機器・アカウント・委託先を棚卸しする

サーバ、PC、ネットワーク機器、保守接続の有無、利用中アカウント、退職者アカウントの残存、USB利用の実態を確認します。ここで台帳管理ができていないと、後続の対策が進みません。

Step 3: バックアップと復旧手順を確認する

バックアップを取っていても、復元試験をしていない例は多くあります。厚労省は、データやシステムのバックアップ実施だけでなく、復旧手順の確認まで求めています。

Step 4: BCPと連絡体制を整える

サイバー攻撃発生時に、診療継続のために何を優先するか、ベンダー・警察・厚労省等へどう連絡するかを整理します。厚労省はBCP確認表やひな形も公表しています。

医療機関チェックリスト最新内容と従来対応の違い

最新運用で押さえたいのは、チェックリスト単体ではなく、マニュアルやQ&A、BCP確認表まで含めた運用が前提になっていることです。厚労省は令和7年度版から、医療機関・薬局・事業者共通のチェックリストマニュアルに統合したと案内しています。

どこまで自院で対応し、どこからベンダー確認か

現場では「セキュリティは業者の仕事」と考えられがちですが、厚労省の整理では、役割分担を確認した上で医療機関側も主体的に点検する前提です。委託契約の中身が曖昧な場合は、Q&Aや確認表に沿って整理し直す必要があります。

立入検査を見据えたクリニックの実務対応

令和7年度版のチェックリストには、立入検査時に本チェックリストを確認しますと明記されています。つまり、単に保存しておけばよいのではなく、未対応項目がある場合は目標日を記載し、改善計画を示せる状態が望まれます。

立入検査で説明しやすい資料

• 記入済みチェックリスト
• 機器台帳、アカウント一覧
• 保守契約書、委託先連絡先
• バックアップ実施記録
• BCP、障害時の連絡体制図
• セキュリティ研修の実施記録

小規模クリニックでは、全項目を一度に完璧にするのは簡単ではありません。そのため、未対応事項を放置するのではなく、「いつまでに、誰が、何をするか」を残しておくことが重要です。個別のシステム構成やベンダー契約により必要な対応は異なるため、必要に応じて専門家や委託先とすり合わせてください。

よくある質問

まとめ

• 2026年4月時点の最新公開版は厚労省の令和7年度版チェックリスト
• クリニックでは責任者設置、台帳管理、権限管理、バックアップ、BCPが重要
• ベンダー任せにせず、保守接続やMDS/SDS、復旧範囲を確認する必要がある
• 立入検査を意識し、未対応項目には目標日と改善計画を残すべき
• 自院の規模やシステム構成に応じた個別判断が必要なため、必要に応じて専門家へ相談することが大切

参照ソース

• 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）」: https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
• 厚生労働省「医療機関におけるサイバーセキュリティ対策チェックリスト（令和7年5月）」: https://www.mhlw.go.jp/content/10808000/001253950.pdf
• 厚生労働省「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表等」掲載ページ: https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html