MENU
個人情報保護
お問い合わせ

【2026年最新】医療機関のサイバーセキュリティ対策はどこまで進んだ?院内SEが知っておくべき実態と対応策

医療機関を狙ったサイバー攻撃が後を絶ちません。ランサムウェアによる診療停止、患者情報の流出——こうした事態は、もはや「どこか遠くの病院の話」ではなく、あなたの病院でも明日起こりうる現実です。

2023年4月の医療法施行規則改正により、病院・診療所・助産所に対してサイバーセキュリティ対策が義務化されました。あれから約3年。厚生労働省が2025年7月に公表した最新調査結果によると、対策が進んでいる部分と、まったく進んでいない部分が浮き彫りになっています。

目次

医療機関のサイバーセキュリティ対策、最新調査で見えた「光と影」

厚労省が2025年1月から3月にかけて実施した「病院における医療情報システムのサイバーセキュリティ対策に係る調査」(対象8,117病院、回答率72.0%)では、次のような実態が明らかになりました。

 進んでいる対策

 電子カルテのバックアップ作成 :ほぼ100%の病院が実施

 USBメモリ等の外部接続媒体の制限 :83%(500床以上病院では99%)

 サイバー攻撃に係る注意喚起や脆弱性情報の収集 :83%

 事業継続計画(BCP)の策定 :57%(前年比+30ポイントと大幅向上)

まったく進んでいない対策

 2要素認証の導入 :全体でわずか11%、500床以上病院でも31%

 サーバ・端末PCへの定期的なセキュリティパッチ適用 :61%(大規模病院ほど低く、500床以上では40%)

 各診療部門への情報セキュリティ担当者の設置 :31%(500床以上でも44%)

 医療機関とシステム事業者の役割を契約書に明記 :51%

引用元記事】

GemMed | データが拓く新時代医療
医療機関のサイバーセキュリティ対策強化に向けて、コスト支援や人的・技術的支援などが重要―医療等情報利… 医療機関のサイバーセキュリティ対策の状況を見ると、対策が進んでいる部分(電子カルテのバックアップデータ作成やU

なぜ「2要素認証」は進まないのか?院内SE(医療情報技師)が直面する現実

調査結果で最も深刻なのは、「2要素認証の導入率がわずか11%」という点です。2027年度からは義務化される見通しですが、現状では大規模病院でも3割程度にとどまっています。

なぜこれほど進まないのでしょうか?院内SEの立場から見ると、次のような壁があります。

1. 既存システムの改修コストが高額

電子カルテやレセコン、部門システムすべてに2要素認証を実装するには、ベンダーへの改修依頼と追加費用が発生します。「見積もりを取ったら数百万円単位だった」という声も珍しくありません。

2. 医療現場の業務フローとの衝突

医師・看護師は多忙な診療の合間に、複数の端末を行き来します。「毎回スマホアプリで認証コードを確認する時間的余裕がない」「救急対応時にログインできないと命に関わる」といった現場からの抵抗が根強いのです。

3. IT人材の不足

調査によると、300床未満の病院では情報システム部門の所属人数が「ゼロ人」の病院が最も多い状況です。院内SEが1人か2人しかいない環境で、全システムに2要素認証を導入し、運用ルールを整備し、全職員に教育を行うのは、物理的に不可能に近いのが実情です。

院内SE(医療情報技師)が今すぐやるべき3つの実務対応

では、限られたリソースの中で、院内SEは何から手を付けるべきでしょうか?以下、優先順位の高い順に3つの実務対応を提案します。

①「サイバーセキュリティ対策チェックリスト」を活用した現状把握

厚労省が公表している「サイバーセキュリティ対策チェックリスト」を使い、自院の対策状況を可視化しましょう。このチェックリストは、医療機関が「まず何から手を付ければよいか」を確認できるよう設計されています。

・ 対策済み:○
・ 一部対応:△
・ 未対応:×

このように3段階で評価し、経営層や情報セキュリティ責任者(CISO)に報告書として提出します。「現状、当院は○項目中△項目が未対応で、優先度の高い順に対応が必要です」と数値で示すことで、予算確保の根拠資料になります。

② ベンダーとの「役割分担」を契約書に明記する

調査結果では、医療機関とシステム事業者の役割を契約書に落とし込んでいる病院は51%にとどまっています。この曖昧さが、サイバー攻撃発生時の初動対応の遅れにつながります。

具体的には、以下の項目を契約書やSLA(サービスレベル合意書)に明記しましょう。

・ セキュリティパッチの適用は誰が行うのか(医療機関 or ベンダー)?

・ インシデント発生時の連絡体制(24時間対応の有無、連絡先)

・ バックアップデータの保管場所と復旧手順

・ 脆弱性情報の通知義務とタイミング

「契約書を見直すだけ」なので、追加コストはゼロです。しかし、いざという時の対応速度が劇的に変わります。

③「2要素認証」導入に向けた段階的計画を立てる

2027年度の義務化まで、残された時間は実質1年半程度です。全システムに一気に導入するのは現実的ではないため、段階的な導入計画を今から準備しましょう。

 フェーズ1:(2026年4月~9月):重要度の高いシステムから導入
 ・ 電子カルテシステム(管理者アカウント)
 ・ レセコンシステム(医事課の管理者アカウント)
 ・ サーバ管理画面

 フェーズ2:(2026年10月~2027年3月):一般ユーザーへの展開
 ・ 医師・看護師の電子カルテアクセス
 ・ 医事課スタッフのレセコンアクセス

 フェーズ3:(2027年4月~):全システム・全職員への展開
 ・ 部門システム(検査、画像、薬剤など)
 ・ その他の業務システム

この計画を経営層に提示し、「ベンダーへの改修費用」「認証デバイスの購入費用」「職員研修費用」を含めた予算要求を行いましょう。IT導入補助金(セキュリティ対策推進枠)の活用も検討すべきです。

執筆者のコメント

「鍵をかけていない金庫」のような病院が大多数

私自身、いくつかの医療機関のシステム導入に関わってきましたが、正直に言えば、多くの病院は「鍵をかけていない金庫」のような状態です。電子カルテに患者の機微な情報が詰まっているのに、パスワードは「password123」で全職員共通(初期パスワードから変更しない)、2要素認証は未導入、セキュリティパッチは「ベンダー任せで何年も放置」——こうした病院が珍しくありません。

今回の調査結果で「対策が進んでいない部分」として浮き彫りになった項目は、すべて「コストと手間がかかる、でも絶対に必要な対策」です。経営層は「うちは大丈夫」と根拠なく楽観視しがちですが、サイバー攻撃は確実に増加しており、攻撃者は「対策が甘い病院」を狙って集中攻撃してきます

院内SEの皆さんは、孤独な戦いを強いられていると思います。ここでお伝えした「チェックリストの活用」「ベンダーとの契約見直し」「2要素認証の段階的導入計画」は、経営層を説得し、予算を勝ち取るための強力な武器になれれば嬉しく思います。あきらめずに、一歩ずつ前に進んでください

まとめ

2027年義務化に向けて、今から動き出そう

今回の調査結果から、次の3つのポイントが明確になりました。

 対策が進んでいる部分は、診療報酬やチェックリストで「メッセージが明確」かつ「コストが低い」項目

 対策が進んでいない部分は、「高コスト」「現場との調整が必要」な項目

 2027年の2要素認証義務化に向け、今から段階的な導入計画が必須

院内SEの皆さんにとって、サイバーセキュリティ対策は「やってもやっても終わらない」重荷かもしれません。しかし、あなたの努力が、患者さんの個人情報を守り、病院の診療機能を維持し、地域医療を支える基盤になっています。

今日から、まず「チェックリスト」で現状把握を始めましょう。そして、経営層に「具体的な数字と計画」を示してください。あなたの病院を、そして地域医療を守るために。

院内SE
参考になったらシェアしてね!
  • URLをコピーしました!
目次