💡 お役立ち記事: クリニックの情報セキュリティについて、何から手を付ければよいかを、専門用語を避けて整理しました。
概要
医療機関を狙ったランサムウェア(身代金型ウイルス)の被害は、大病院だけの話ではありません。電子カルテやレセコン、Web 予約、問診の電子化が進むほど、守るべき患者情報と、止まると診療に支障が出るシステムが増えていきます。
一方で、「情報セキュリティ」と聞くと専門的で何から手を付ければよいか分かりにくい——という声もよく聞きます。本記事では、3省2ガイドラインの位置づけをやさしく示したうえで、まず固めるべき5つの備えを、現実的な順番で整理します。完璧を一度に目指す必要はありません。
3省2ガイドラインとは(やさしく)
医療情報の安全管理について、国が示している指針が通称「3省2ガイドライン」です。
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」= 医療機関側が守るべき指針。
- 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」= システムを提供する事業者側(MEDICT のような IT 事業者)が守るべき指針。
要するに、医療機関と、その IT を支える事業者の双方に、患者情報を安全に扱う責任があるという枠組みです。クリニックが外部ベンダーにシステムやサイトを任せる場合も、「丸投げ」ではなく、どう守られているかを確認する姿勢が求められます。
まず固める5つの備え
① バックアップ — 「戻せる」ことが最後の砦
ランサムウェアや機器故障に対し、データを別の場所に定期的に複製しておけば、最悪でも復旧できます。重要なのは、ネットワークから切り離した保管(オフライン/別環境)を含めること。常時つながった保管先だけだと、被害が同時に及ぶことがあります。
② 認証 — パスワード+多要素
使い回しや単純なパスワードは、被害の入口になりがちです。推測されにくいパスワード+多要素認証(スマホ確認コード等)を、特に外部からアクセスできる仕組み(メール・管理画面・リモート)に設定します。
③ 通信の暗号化 — SSL と VPN
ホームページや予約システムは 常時 SSL(https) で暗号化。院外から院内システムにアクセスする場合は VPN 等で経路を保護します。「保護されていない通信」の表示が出るサイトは、患者の不安にも直結します。
④ 端末と権限の管理 — 最小限の権限で
OS やソフトを更新済みに保ち、スタッフごとに必要最小限の権限を割り当てます(全員が管理者権限、を避ける)。退職者アカウントの停止も忘れがちな抜け穴です。
⑤ リモート保守の安全 — 「誰が・いつ・何を」を残す
システム保守で外部が院内 PC を遠隔操作する場合、院内が都度承認する有人方式・接続記録(ログ)・暗号化を満たす形にします。常時無人でつながりっぱなしの遠隔接続は避けるべきです。
自院でできるチェックリスト
[ ] 重要データのバックアップがある(うち1つはオフライン/別環境)
[ ] 外部アクセスする仕組みに多要素認証を設定している
[ ] ホームページ・予約が常時 SSL(https)になっている
[ ] OS・ソフトを更新済みに保ち、権限は人ごとに最小限
[ ] 退職者・異動者のアカウントを速やかに停止している
[ ] 外部の遠隔保守は「都度承認+記録」になっているmedict の視点
セキュリティは「高価な製品を入れること」ではなく、当たり前のことを抜けなく続けることで大半が決まります。クリニックの規模なら、上の5つを順に固めるだけでリスクは大きく下がります。
MEDICT は、システムを提供する事業者側のガイドライン(経産省・総務省)に沿って、患者情報を院内で安全に扱う前提でサービスを設計しています。ホームページの常時 SSL 化、予約データの院内完結、遠隔保守の有人・記録方式などは、その具体例です。
まとめ
- 3省2ガイドラインは「医療機関」と「IT 事業者」の双方に課される枠組み。丸投げにしない。
- まず固めるのは バックアップ / 認証 / 通信暗号化 / 端末・権限 / リモート保守の安全の5つ。
- 完璧を一度に目指さない。被害が大きく対策が現実的なものから1つずつ。患者情報を守る姿勢そのものが信頼になる。
MEDICT では、今お使いのサイトを10項目(SSL・セキュリティ設定等を含む)で診断する無料サイト診断、セキュリティ込みのクリニック向けホームページ制作・保守をご用意しています。本記事は 2026 年 6 月 14 日時点の一般的な情報であり、個別の対策の要否は専門家・所管にご確認ください。