メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サービス・製品　|　
2026年1月15日

医療情報システム提供事業者ガイドラインとBCP～ランサムウェアリスクへの対応

山田一樹

メルマガ登録する

メルマガ登録する

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインが、2025年3月に第2.0版として改定され、医療情報システム事業者にとって、医療機関との合意形成や説明責任の重要性がこれまで以上に高まっています。

同時に、医療機関や医療情報システム事業者を狙ったランサムウェア攻撃も国内外で発生しており、「止めない医療」を支えるIT-BCPの整備は避けて通れません。

本記事では、第2.0版ガイドラインの改定ポイントとランサムウェアリスクを踏まえ、医療情報システム事業者が押さえるべき説明責任や役割分界、IT-BCPの考え方を整理します。

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」とは
第2.0版ガイドラインの改定ポイント
ランサムウェア攻撃は「企業」だけがターゲットではない
なぜ医療機関・医療情報システム事業者が狙われるのか
説明責任や役割分界をどのように合意形成し進めていくか
IT-BCP（情報システムの継続）への備えも重要
さいごに

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」とは

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、いわゆる「3省2ガイドライン」の1つです。

医療情報システムの安全管理と個人情報保護については、厚生労働省が策定したガイドラインと、経済産業省・総務省が共同で策定したガイドラインの2つがあり、3つの省が示す2つのガイドラインであることから、一般に「3省2ガイドライン」と呼ばれています。

策定機関	ガイドライン名	対象
厚生労働省	医療情報システムの安全管理に関するガイドライン第6.0版^※1	病院、助産所、薬局、介護事業者等の医療機関
経済産業省・総務省	医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版^※2	・医療機関等との契約等に基づいて医療情報システム等を提供する事業者・医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者・患者等の指示に基づいて医療機関等から医療情報を受領する事業者

策定機関	厚生労働省
ガイドライン名	医療情報システムの安全管理に関するガイドライン第6.0版^※1
対象	病院、助産所、薬局、介護事業者等の医療機関

策定機関	経済産業省・総務省
ガイドライン名	医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版^※2
対象	・医療機関等との契約等に基づいて医療情報システム等を提供する事業者・医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者・患者等の指示に基づいて医療機関等から医療情報を受領する事業者

※1 医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）｜厚生労働省

※2 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン（METI/経済産業省）

このうち、経済産業省・総務省によるガイドラインは、医療機関にサービスを提供する事業者が実施すべきセキュリティ管理策や説明義務、責任分界の明確化、再委託管理、事故対応などの要求事項を整理しています。医療機関との適切な合意形成を行い、安全にサービスを提供するための実務的指針となっています。

第2.0版ガイドラインの改定ポイント

今回焦点となる第2.0版では、次の点が大きな変更になります。

項目	項目	第1.1版
ガイドラインの方針	対策・リスク管理の要求事項を整理したガイド	要求事項に加え、事業者・医療機関が合意形成するプロセスを明示したガイド
考え方	リスクベースアプローチに基づき、自社内で必要な対策を漏れなく実装することが主眼	リスクベースアプローチを前提に、その結果を役割・責任分界や合意内容として明示することを強調
事業者の説明責任	リスク管理や安全管理措置について情報提供・説明が求められるものの、具体的な範囲や手順の記載は限定的	構成図・リスク評価・再委託・事故対応等を文書化して医療機関と共有・合意することが明確化され、説明責任が実務レベルで強化
医療機関との関係性	医療機関との取り決めの重要性には触れるが、「事業者から説明して契約する」一方向の色が強い	リスクコミュニケーションによる双方向の合意形成と継続的な見直しを前提とし、その合意内容を契約に反映する

従来の第1.1版は「事業者が自社内で要求事項を満たすこと」に主眼が置かれていたのに対し、第2.0版では「医療機関とリスクや責任分界について、リスクコミュニケーションを通じて合意形成し、その内容を契約・運用に反映していくこと」が軸になった点が大きな特徴です。

ランサムウェア攻撃は「企業」だけがターゲットではない

ランサムウェアというと、大企業やグローバルな製造業・金融機関が狙われるイメージが強いかもしれません。実際に近年、ランサムウェアの被害は企業系で目立っていますが、病院への攻撃も過去に国内外問わず発生しています。その象徴的な事例として2021年に発生した病院での被害事件があります。

その後も病院が標的とされる事件が続き、2025年においても国内で診察や検診業務などに制限が出るとともに、個人情報が漏えいした可能性のある事件が頻発しています。

国内：病院でのランサムウェア被害事例（2021年10月）

2021年10月、国内の中規模病院の医療情報システムがランサムウェアに感染し、約8万5,000人分の電子カルテや会計システムにアクセスできなくなる被害を受けました。同院は身代金を支払わずにシステムを再構築し、復旧までの約2か月間、一部診療科で新規患者の受け入れ中止などの影響が出ました。その後、2022年1月に通常診療を再開しています。

出典：情報セキュリティ10大脅威 2022 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

海外：アイルランド保健サービス庁（HSE）へのContiランサムウェア攻撃（2021年5月）

2021年5月14日、アイルランドの公的医療サービスを担う保健サービス庁（HSE）がContiランサムウェアの攻撃を受け、全国のITシステムを一時停止する事態となりました。公式報告では、「国家の公的医療システムに対する最大規模のサイバー攻撃」と位置づけられており、多数の病院や診療所で予約や診療の遅延・キャンセルが発生しました。

出典：NCSC「Ransomware Attack on Health Sector - UPDATE 2021-05-16」

なぜ医療機関・医療情報システム事業者が狙われるのか

このように、医療機関や医療情報システムを提供する事業者も、攻撃者にとって「非常に魅力的な標的」になっています。

医療機関は人命リスクに直結するため診療を止めづらく、身代金要求の交渉材料になりやすい。
医療情報には氏名・住所・保険情報・疾病情報などの機微情報が含まれることが多く、情報価値が高いためダブルエクストーション（二重恐喝）の材料になりやすい。
電子カルテや医療用画像管理システム（PACS）等のクラウド型医療情報システムを提供する事業者を狙えば、そのサービスを利用している複数の医療機関が同時に停止するなど、一度の攻撃で大きな影響範囲を狙える。

などといった要因とともに、医療機関は大企業に比べてセキュリティ対策が十分に備わっておらず、ITやセキュリティに関する専門知識を有していないことが多いため、攻撃者にとって狙いやすい状況にあることも理由に挙げられます。

第2.0版ガイドラインが、医療機関との役割分界や合意形成をここまで強く求めるのも、単なる机上のルール作りではなく、こうした現実のランサムウェア被害を前提に、「誰がどこまで備えるのか」を事前に決めておく必要があるからだと言えます。

説明責任や役割分界をどのように合意形成し進めていくか

第2.0版ガイドラインで求められている「説明責任」や「役割分界」は、単に用語として掲げるだけではなく、具体的なプロセスとして医療機関と合意形成し、設計・運用していくことが前提となっています。医療情報システム事業者の立場では、少なくとも次の3つのステップで進めることが重要です。

提供するサービスの全体像とリスクを"見える化"する

自社が提供する医療情報システム・サービスについて、医療情報システム等の全体構成図、医療情報を保存する場所、再委託（サプライチェーン）の有無・範囲、リスクアセスメントの結果やリスク対応一覧、平常時・非常時の対応方針（BCP／IT-BCPの前提となる内容）などを整理し、医療機関にも分かる形で文書化します。

ガイドラインでは、こうした情報を「医療機関等へ情報提供すべき項目」として、サービス仕様適合開示書等の形式で提供することが例示されています。

障害・インシデント時の「役割と責任」を医療機関と一緒に決める

平常時だけでなく、障害発生時・インシデント発生時に「誰が」「どこまで」「どの順番で」対応するのかを、医療機関側のIT-BCPと照らし合わせながら整理します。

具体的には、利用者ID・権限管理、端末や機器の管理責任、バックアップ取得とリストアの手順、患者への説明・連絡、インシデント時のエスカレーション・報告窓口といった項目ごとに、事業者が担う範囲と医療機関が担う範囲を切り分けておくことが重要です。

ガイドラインでも、医療機関側の運用次第でセキュリティが損なわれる例を挙げたうえで、「医療機関等における運用管理も踏まえた役割分担を定めること」が求められています。

合意した内容を契約やSLAに落とし込み、定期的に見直す

上記の2つのステップで整理した内容について、まず医療機関との間で共通理解を形成したうえで、契約書、SLA（Service Level Agreement）、サービス仕様書などの形で明示し、責任分界を含めた「明示的な合意」として残します。そのうえで、サービス仕様の変更、医療機関側の環境変更、法令改正、インシデント発生などのタイミングで、共通理解と合意内容を定期的に見直すことが求められています。

ガイドラインにも、契約前・契約中を通じて「明示的な合意」と「共通理解」を形成・維持し、必要に応じて再合意を行うことが示されています。第2.0版ガイドラインが強調する「リスクコミュニケーションの実効化」とは、こうした一連のサイクルを継続して回していくことを指していると言えます。

もっとも、これらのプロセスを自社だけでゼロから設計し、ガイドラインとの整合を取りながらドキュメント化・見直しを続けていくのは、担当部門にとって大きな負担となりがちです。そのため、リスクアセスメントやサービス仕様適合開示書・SLAの整備、役割分界の整理などについては、医療分野のセキュリティやIT-BCPに知見を持つ外部の専門業者の支援を受けながら進めることも、有力な選択肢になります。

IT-BCP（情報システムの継続）への備えも重要

説明責任や役割分界を整理することは、「誰がどこまで備えるのか」を明確にするうえで重要ですが、「何に備えるのか」が具体化されていなければ十分とは言えません。先述したように、医療機関や医療情報システム事業者もランサムウェアの標的になり得ます。

そのため「攻撃を受けないように守る」だけでなく、万が一システムが停止した場合に、自社が提供する医療機関向けの情報システムをどのように復旧・継続させ、その結果として医療機能をいかに途切れさせないようにするかを、IT-BCPとしてあらかじめ定めておくことが重要です。

医療機関側については、厚生労働省の「医療情報システムの安全管理に関するガイドライン第6.0版」で、情報セキュリティインシデントにより医療情報システムが停止した場合に備え、復旧手順の検討や、電子カルテ停止時に紙運用で「診療を継続するかどうかを平時から決めておくこと」、「IT-BCPに基づいた訓練・演習を定期的に実施すること」が求められています。

一方で、今回の医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版では、こうしたIT-BCPを前提として、障害・インシデント時に「誰が、どこまで、何をするのか」を、サービス提供事業者の側から医療機関に対して分かりやすく示し、その内容について合意形成したうえで契約やSLAに反映することが重視されています。

つまり、医療機関側のIT-BCP整備に任せきりにするのではなく、サービス提供事業者自身が、自社サービスの復旧能力や対応方針・責任範囲を開示し、医療機関との間で役割分担を事前にすり合わせておくことが求められていると言えます。

ラックでは、

LAC WATCH記事「まだ間に合う！『医療情報システムの安全管理に関するガイドライン』対策を効果的に実施するには」で紹介している、第6.0版ガイドライン適合に向けたアセスメント・対策支援
LAC WATCH記事「もしもの備えに対応すべき、ITシステムの『BCP対策』とは？」で紹介している、情報システムに関する事業継続計画（IT-BCP）整備の支援

といった取り組みを通じて、エンタープライズ企業に対するランサムウェア等の情報システムリスク対策はもちろん、医療情報システム事業者・医療機関の双方に対するアセスメントやIT-BCP整備のご相談も行っております。

さいごに

ここまで、第2.0版ガイドラインの改定ポイントと、その背景にあるランサムウェアなどのリスク、そしてIT-BCPの必要性などについてご紹介しました。第2.0版は、医療情報を取り扱うすべての事業者に対して、「説明責任」と「役割分界」について医療機関と合意形成を図ることを、これまで以上に強く求める内容へと進化しています。

ラックでは、情報システム提供事業者と医療機関の双方に向けて、ガイドライン遵守のためのアセスメント、セキュリティ対策の強化、IT-BCP整備などを包括的にご支援しています。ガイドライン対応やランサムウェア対策、IT-BCPの進め方などでお悩みの点がございましたら、ぜひお気軽にご相談ください。