対応エリアはどこですか？

大阪・兵庫・京都・奈良の4府県を中心に対応しています。オンライン面談も可能ですので、まずはご相談ください。

開業前でも相談できますか？

はい、開業を検討し始めた段階からご相談いただけます。物件探しや資金計画など、早めのご相談をおすすめします。開業の3〜6ヶ月前から顧問契約を結ぶのが理想です。

今の税理士から乗り換えたいのですが…

もちろん対応可能です。引き継ぎのタイミングや手続きについてもサポートいたします。決算期のタイミングでの切り替えがスムーズです。

歯科医院も対応していますか？

はい、歯科医院の開業・経営支援も多数の実績がございます。自費診療の割合が高い歯科医院特有の経営課題にも対応しています。

クリニック開業にはいくらかかりますか？

2025年現在、内装工事費の高騰により開業費用は上昇しています。テナント開業の場合、内科で6,000万〜8,000万円、整形外科で8,000万〜1.2億円が目安です。当事務所では最新の相場を踏まえた資金計画から融資サポートまで一貫して支援します。

医療法人化のメリットは何ですか？

主なメリットは、①所得分散による節税効果、②社会保険への加入、③分院展開が可能、④事業承継がしやすい、の4点です。売上が5,000万円を超えたら検討をおすすめします。

顧問料はいくらですか？

クリニックの規模や診療科目により異なりますが、月額3〜10万円が目安です。初回相談は無料ですので、まずはお気軽にご相談ください。

レセプト分析とは何ですか？

診療報酬明細書（レセプト）のデータを分析し、収益改善のポイントを見つけるサービスです。患者単価、診療行為別の収益、算定漏れなどを可視化し、経営改善につなげます。

承継開業と新規開業、どちらがおすすめですか？

承継開業は既存の患者基盤を引き継げるため、開業初期から安定した収益が見込めます。一方、新規開業は自分の理想を反映しやすいメリットがあります。どちらが良いかは個別の状況によりますので、無料相談でご相談ください。

オンライン相談は可能ですか？

はい、Google Meet・Microsoft Teamsでのオンライン相談に対応しています。遠方の方や多忙な方でも、気軽にご相談いただけます。

医療機関セキュリティガイドライン整理

医療機関向けセキュリティガイドラインとは

医療機関向けセキュリティガイドラインとは、厚生労働省を中心に示されている医療情報の安全管理とサイバー攻撃対策の基準です。院長や事務長にとっての問題は、単にIT担当者へ任せればよい話ではなく、立入検査で確認される事項や、事故発生時の事業継続、委託先管理まで含めて経営責任として整理しなければならない点にあります。

近年はランサムウェア被害をきっかけに、医療機関に求められる管理水準が一段と具体化しました。特に実務で軸になるのは、厚労省の「医療情報システムの安全管理に関するガイドライン第6.0版」、医療機関向けサイバーセキュリティ対策チェックリスト、そして委託先やクラウド事業者も含めて確認する、いわゆる3省2ガイドラインの考え方です。

当法人でも、クリニックや医療法人から「電子カルテのベンダーに任せているが、自院で何を押さえるべきか分からない」という相談を受けることがあります。結論からいえば、医療機関がまず行うべきなのは、責任者の明確化、資産台帳の整備、委託先との役割分担の文書化、バックアップと復旧手順の確立です。

ここがポイント

厚労省のチェックリストは、医療機関が「今どこまでできているか」を確認する入口資料です。チェックリストで把握した不足を、医療情報安全管理ガイドライン本文で補強する読み方が実務的です。

医療情報安全管理ガイドラインとは何か

厚労省ガイドラインの位置づけ

厚生労働省の「医療情報システムの安全管理に関するガイドライン」は、医療情報システムを安全に管理するための中心的な基準です。第6.0版では、構成が概説編・経営管理編・企画管理編・システム運用編に整理され、院長・管理者層と実務担当者の役割を切り分けて読みやすくなりました。

重要なのは、このガイドラインが単なる推奨集ではなく、法令対応を前提にした安全管理の実務基準として扱われている点です。個人情報保護、真正性・見読性・保存性の確保、外部保存やクラウド利用時の管理、委託契約の整理など、医療機関が説明責任を果たすための土台になります。

第6.0版で押さえるべき要求事項

第6.0版を実務に落とすと、特に次の4点が重要です。

経営層が安全管理責任者や体制を明確にすること
医療情報システムの対象範囲を把握し、台帳化すること
リスク分析を行い、運用管理規程や手順書に反映すること
インシデント対応、バックアップ、事業継続を平時から準備すること

小規模クリニックでは、システム担当者が実質1名、あるいは外部委託のみというケースも珍しくありません。その場合でも、責任の所在を曖昧にしてよいわけではありません。ベンダーへ委託していても、最終的に患者情報を管理する主体は医療機関です。

3省2ガイドラインの違いと実務での見方

3省2ガイドラインとは

現場では「3省2ガイドライン」という言い方がされますが、実務上は複数の公的ガイドラインを横断して整合的に管理する考え方を指すことが多いです。少なくとも、医療機関側は厚労省の医療情報安全管理ガイドライン、委託先やクラウド提供者との関係では総務省・経済産業省が関与する提供事業者向けガイドライン、さらに個人情報保護委員会や厚労省の個人情報ガイダンスを確認しておく必要があります。

医療機関と事業者で見るべき資料の違い

←横にスクロールできます→

項目	医療機関が主に確認する資料	事業者・委託先も含めて確認する資料
基本的な安全管理	医療情報システムの安全管理に関するガイドライン	同左
サイバー対策の優先項目	医療機関向けチェックリスト・マニュアル	事業者確認用チェックリスト
クラウド・外部保存・委託	厚労省ガイドラインの契約・役割分担	提供事業者向け安全管理ガイドライン
個人情報保護	厚労省・個人情報保護委員会のガイダンス	同左

誤解されやすいのは、「ベンダーが準拠していれば自院は大丈夫」という考え方です。実際には、サービス仕様適合開示書、SLA、障害時の連絡体制、ログ管理、遠隔保守の有無などを医療機関側が理解し、契約に落としておく必要があります。

ここがポイント

クラウド型電子カルテやオンライン資格確認関連システムを利用している場合は、院内の機器管理だけでなく、委託先との責任分界点を文書で確認しておくことが重要です。

厚労省チェックリストで求められる対応

立入検査を意識して優先すべき項目

厚労省の医療機関向けサイバーセキュリティ対策チェックリストは、優先して取り組む事項を簡潔に示しています。令和7年度版では、立入検査時にチェックリストを確認する旨が明示されており、単なる参考資料ではなく、対外的な説明資料として整備しておく必要があります。

優先度が高い項目は次のとおりです。

医療情報システム安全管理責任者の設置
サーバ、端末PC、ネットワーク機器の台帳管理
リモートメンテナンスの有無の把握
バックアップの取得と復元確認
OSやソフトウェアのアップデート管理
ID・パスワード、権限管理
インシデント発生時の報告体制
サイバー攻撃を想定したBCPの整備

特に小規模診療所では、機器台帳とバックアップ運用が抜けやすい印象があります。現場では「古いノートPCがどこで使われているか分からない」「USB接続の簡易バックアップだけで復元訓練をしていない」というケースが少なくありません。

医療機関がやるべき手順

Step 1: 対象機器とシステムを洗い出す

電子カルテ、レセコン、予約システム、画像サーバ、ルーター、院内Wi-Fi、VPN機器、遠隔保守対象機器まで含めて一覧化します。

Step 2: 責任者と委託先を整理する

院内責任者、システム担当者、ベンダー、保守会社、クラウド事業者を対応表にまとめます。誰が何を監視し、障害時に誰へ連絡するかを明文化します。

Step 3: 現状をチェックリストで点検する

厚労省のチェックリストに沿って「はい」「いいえ」を確認し、「いいえ」の項目は目標日を設定します。未対応を放置しない運用が重要です。

Step 4: 規程・手順・BCPを整備する

運用管理規程、バックアップ手順、アカウント管理手順、インシデント対応フロー、BCPを文書化します。

Step 5: 年1回以上は見直す

新しい機器の導入、ベンダー変更、人事異動、法令改正のたびに見直します。一度作って終わりにしないことが重要です。

医療機関セキュリティガイドライン対応で見落としやすい注意点

委託先任せにしない

電子カルテやレセコンの障害時に、院内で初動対応できないと診療停止リスクが高まります。ベンダー任せにせず、緊急連絡先、切替手順、紙運用への移行方法、復旧優先順位を自院でも把握しておく必要があります。

バックアップは「ある」だけでは不十分

バックアップ媒体がランサムウェアに巻き込まれる、保存先に上書きされる、復元に時間がかかるといった問題はよくあります。重要なのは、取得の有無ではなく、復元できることを確認しているかです。オフライン保管や世代管理も検討したいところです。

個人情報保護とサイバー対策を分けて考えない

医療情報漏えいは、サイバー攻撃だけでなく、誤送信、設定ミス、持出端末の紛失、退職者アカウントの残存でも起こります。個人情報保護委員会や厚労省の個人情報ガイダンスも合わせて確認し、技術対策と運用対策を一体で考える必要があります。

監査ログと権限管理を軽視しない

誰がいつ患者情報へアクセスしたかを追跡できない状態では、事故後の原因分析が難しくなります。共有IDの常態化や、退職者IDの放置は典型的なリスクです。診療に必要な範囲で権限を分け、退職・異動時に速やかに停止する運用が求められます。

税理士法人に相談するメリットと実務の進め方

医療機関のセキュリティ対応は、ITだけの問題ではありません。機器更新費用、保守契約、委託契約、補助金や投資計画、事故時の損失見積りまで含めると、経営判断そのものです。税理士法人辻総合会計では、医療機関の経営管理の観点から、何を院内で決め、何をベンダーへ委託し、どの資料を整備すべきかを整理する支援が可能です。

よくある相談として、「チェックリストを埋めたいが、院長と事務長と業者の役割分担が曖昧」「立入検査で説明できる形に文書化したい」というものがあります。この場合、単にIT用語を並べるのではなく、経営管理資料として読める形へ落とし込むことが重要です。

セキュリティ対策は費用がかかるため後回しにされがちですが、診療停止や信用毀損の損失と比較すると、予防コストの方が合理的なケースが多く見られます。個別の状況により必要な対策の優先順位は異なるため、院内体制と委託先契約をセットで見直すことをおすすめします。

よくある質問

Q: 医療情報安全管理ガイドラインは、すべてのクリニックに関係ありますか？ ▼

はい。病院だけでなく、診療所や歯科診療所など、医療情報システムを扱う医療機関全般に関係します。電子カルテを使っていない場合でも、レセコン、予約システム、オンライン資格確認端末などが対象になり得ます。

Q: 3省2ガイドラインは医療機関だけ読めばよいですか？ ▼

医療機関側は厚労省の医療情報安全管理ガイドラインを中心に確認しつつ、クラウドや委託先を利用する場合は、提供事業者向けガイドラインや個人情報保護関連ガイダンスとの整合も見ておくのが実務的です。委託先との責任分担を文書化することが重要です。

Q: 厚労省のチェックリストは提出義務がありますか？ ▼

運用は地域や個別事情によりますが、令和7年度版では立入検査時にチェックリストを確認すると明記されています。少なくとも、自院で記入し、未対応項目と改善予定日を整理しておくことが望まれます。

Q: まず最初に何から着手すべきですか？ ▼

まずは責任者の設置、機器台帳の整備、バックアップ運用の確認、委託先との役割分担の文書化から着手するのが現実的です。そのうえで、チェックリストに沿って未対応事項を洗い出し、BCPや手順書へ落とし込みます。

まとめ

医療機関のセキュリティ対策は、厚労省の医療情報安全管理ガイドラインを軸に進める
令和7年度版の医療機関向けチェックリストは、立入検査も意識して整備する必要がある
3省2ガイドラインは、医療機関と委託先の役割分担を整理する視点で理解すると実務に落とし込みやすい
重要なのは、責任者設置、資産台帳、バックアップ、権限管理、BCPの5点を文書化すること
個別のシステム構成や委託契約により必要な対応は異なるため、専門家と整理するのが安全である

参照ソース

厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版（令和5年5月）」: https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
厚生労働省「医療機関におけるサイバーセキュリティ対策チェックリスト（令和7年5月）」: https://www.mhlw.go.jp/content/10808000/001253950.pdf
経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」: https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html
個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」: https://www.ppc.go.jp/personalinfo/legal/iryoukaigo_guidance/
厚生労働省「厚生労働分野における個人情報の適切な取扱いのためのガイダンス等」: https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/0000027272.html

医療機関向けセキュリティガイドラインとは

ここがポイント