リスク領域から探す

リスク情報

RM NAVIとは

レポート/資料

医療機関におけるサイバーBCP訓練・演習実施のポイント 医療福祉RMニュース<2025 No.1>

2025.4.2

要旨
  • 医療機関におけるサイバーBCP訓練・演習の必要性は、サイバー攻撃事案の増加や厚生労働省のガイドライン、診療報酬によるインセンティブの付与等によって示されている。
  • サイバーBCPを踏まえた訓練・演習を企画・実施する際には、自施設の現状や課題等に沿った目的を設定し、それを踏まえた参加者の決定、シナリオ・状況付与の作成等がポイントである。
  • 医療機関においては診療の継続・早期復旧を図り、地域医療等への影響を最小限に抑えるといった本来の目的意識を持って、継続的に訓練・演習に取組むことが求められる。

1. 医療機関におけるサイバーBCP訓練・演習実施の必要性

医療分野におけるサイバー攻撃事案について、警察庁の発表によるとランサムウェアによる被害件数は令和3年度に7件であったものが令和4年度には20件に増加しており、実際に電子カルテ等のデータが暗号化されてしまい、復旧に2か月を要する等して長期間診療継続に影響を及ぼした事例も複数発生している。

また、厚生労働省が策定・公表している「医療情報システムの安全管理に関するガイドライン第6.0版」(以下「ガイドライン」)では定期的な訓練・演習の実施やその結果をBCPへ反映させる、いわゆるBCM取組みの重要性が示されている。加えて、医療機関の各種取組みへのインセンティブとなる診療報酬では「診療録管理体制加算」が令和6年度の診療報酬改定で見直され、算定の要件に「少なくとも年1回程度定期的に、訓練・演習を実施すること。また、その結果を踏まえ、必要に応じて改善に向けた対応を行っていること」が追加されている。

このことから、サイバーBCPを踏まえた訓練・演習の実施は、すべての医療機関における喫緊の課題であると言える。

本稿では医療機関でサイバーBCP訓練・演習を企画する担当者(以下「企画担当者」)向けに、訓練・演習実施のポイントについて解説する。なお、ここではサイバー攻撃に関する状況付与によって、発生しているインシデントへの対応検討を行うロールプレイ形式での訓練・演習を取り上げる。

2. サイバーBCP訓練・演習を企画・実施する際の手順

一般社団法人日本シーサート協議会が公表している「サイバー攻撃演習訓練実施マニュアル」によると、訓練・演習を企画・実施する際の手順は以下のとおりである。

(1)訓練・演習目的の明確化

まずは訓練・演習を実施する目的を明確にする。サイバー攻撃を対象とした訓練・演習の目的は主に以下が挙げられる。

表1 サイバー攻撃を対象とした訓練・演習の目的例

  • インシデント対応フローの検証
  • インシデント対応フローの習得
  • サイバー攻撃における、事業継続計画(BCP)の検証
  • CSIRTのインシデント対応能力の向上
  • インシデント対応時の自組織内の情報連携の検証
  • インシデント対応時の組織外情報連携の検証
  • インシデント対応時のリソースの検証
  • インシデント対応時のコミュニケーションツールの検証
  • インシデント対応時のコミュニケーションツールの習得
  • 自組織内への啓発活動/意識向上/役割理解促進
  • テクニカルスキルの習得 等

出典:一般社団法人日本シーサート協議会「サイバー攻撃演習訓練実施マニュアル」

自施設のサイバー攻撃等に対する準備状況やインシデント対応上の課題、過去に実際に発生したインシデント等を踏まえて、表1を参考に目的を決定することが推奨される。

(2)対象となるシステム及び参加者の決定

次にシナリオ上でインシデントが発生するシステムを決定する。医療機関であれば、診療継続の可否に直結する電子カルテ等の医療情報システムを対象とするのが一般的である。続けて、訓練の参加者を決定する。参加者は訓練・演習の目的や対象となるシステム等を踏まえて決定するが、経営に近い上位の役職者ほど全体的なリスク管理や危機対応が論点となり、一方で…

ここまでお読みいただきありがとうございます。
以下のボタンをクリックしていただくとPDFにて全文をお読みいただけます(無料の会員登録が必要です)。

会員登録で レポートを全て見る