- 立入検査の通知が届いたとき、最初に確認すべきことと全体の流れ
- チェックリストの「いいえ」欄に書く目標日の考え方と、避けたい書き方
- 機器台帳・運用管理規程・BCPで最低限そろえたい内容
- 立入検査の前にベンダーへ確認しておきたい項目の整理方法
- 法人化のタイミングで見直したいIT書類と管理体制のポイント
読後の相談も歓迎です
この記事の内容を自施設に当てはめて整理できます
書類整備・補助金・チェックリスト対応など、初回相談で現状と優先順位を一緒に確認します。
対象読者: 開業済みのクリニック院長・事務長で、立入検査対応やIT書類の整備をこれから進めたい方。法人化を検討中、または法人化したばかりの方にも対応しています。
立入検査の通知が届いたら、まず何を確認するか
保健所から立入検査の通知が届くと、「サイバーセキュリティ対策チェックリストを確認します」という案内が入っていることがあります。聞き慣れないIT用語が並んでいると不安になりますが、パニックになる必要はありません。
立入検査で「現物を見せてください」と求められることが多いのは、主に以下の4つの書類です。
機器台帳
院内にあるPC・ルーター等の一覧表
緊急連絡体制図
サイバー攻撃時にどこへ連絡するかのリスト
事業継続計画(BCP)
システム停止時に紙運用で診療を続ける手順
運用管理規程
USBメモリの接続禁止など、スタッフ向けの運用ルール
つまり、高度なIT設定を見せるのではなく、「現状の機器を把握し、万が一のルールを紙に落としてあるか」が問われます。大病院が持つような分厚いマニュアルは必要ありません。身の丈に合った、数枚のシンプルな規程で十分です。
最初の一歩としては、厚労省のサイトから最新の「サイバーセキュリティ対策チェックリスト(マニュアル)」をダウンロードして、ざっと眺めてみることです。
チェックリストの「いいえ」は即アウトではない
チェックリストで最も手が止まりやすいのが、「いいえ」になる項目の扱いです。「うちの電子カルテは古いから『いいえ』ばかりになってしまう」と焦る方もいますが、現状が「いいえ」でも即アウトにはなりません。
令和7年度版のチェックリスト冒頭には、「いいえ」の場合は令和7年度中の対応目標日を記入するよう案内されています。行政が求めているのは「今すぐ完璧にすること」ではなく、「現状の課題を把握し、いつまでに改善するかを示すこと」です。
よく分からないまま「はい」にマルをつけて提出してしまうこと。インシデント発生時に、虚偽の報告として責任を問われるおそれがあります。
目標日の考え方
目標日は、未対応の項目を次の3つに分けて考えると書きやすくなります。
院内ですぐ見直せる項目
ID棚卸し、USBルール確認、機器台帳整理など。院内で動ける部分なので、1週間から数週間の単位で区切るのが現実的です。
ベンダー確認が必要な項目
バックアップ取得状況、ログ保存、セキュリティパッチなど。「ベンダーに確認して回答を受ける予定日」も含めて目標日を考えます。確認を取り、対応方針を固める期限として置くイメージです。
機器更新や契約見直しが絡む項目
すぐには終わらないので、「今年度中にどこまで進めるか」を切って考えます。ベンダーとの協議、見積もり取得、更新時期の決定など、節目を意識すると現実的な日付が置けます。
未対応の項目を全部同じ日付にそろえると、優先順位の整理ができていないように見えます。項目の重さを分けて記入することが大事です。
なお、二要素認証の項目(チェックリスト 2-10)は「令和9年度までに実装予定である」という書き方になっています。未実装でも、ベンダーの対応ロードマップが具体的に示されていれば「はい」と整理できる余地がある項目です。単純に「未対応だから目標日を書く」と決めつけず、まずベンダーに確認した方が安全です。
機器台帳 ― どこまで載せるか
途中で迷ったら
対応範囲と優先順位を一度整理しませんか
自施設に必要な書類・対応を洗い出し、無理なく進める順番を一緒に確認します。
機器台帳で最初にぶつかるのは「どこまで載せればいいか」という疑問です。
まず載せるべきなのは、医療情報システムに関わる機器です。具体的には、受付や診察室で使っているPC、電子カルテやレセコンのサーバー、ルーター・無線LANアクセスポイントが最低限の対象になります。
NASについても、院内で医療情報の保存やバックアップに関わっているなら、台帳に含める方向で整理した方が実務に合います。一方で、医療情報と無関係な家電や、ネットワークに接続していない単機能機器まで同じ粒度で管理する必要はありません。
| 項目 | 内容 |
|---|---|
| 管理番号 | 機器ごとに付ける通し番号 |
| 機器名 | 「受付PC」「診察室タブレット」など用途が分かる名前 |
| メーカー名・型番 | 製造元と製品の型番 |
| 設置場所 | 受付、第1診察室など |
| 利用者または担当者 | その機器を使う・管理するスタッフ |
| OS・主要ソフト | Windows 11、電子カルテソフト名など |
| 状態 | 使用中・予備・故障中など |
全部正確に分かってから書き始める必要はありません。仮の名前で並べておいて、後からベンダーに型番やIPアドレスを確認して補えば十分です。リモートメンテナンスが入る機器も見落としやすいので、「この機器は外部保守あり」と分かるようにしておくと後で役立ちます。
運用管理規程 ― 最低限の5項目
運用管理規程は、院内で医療情報システムをどう扱うかの日常ルールを文章にしたものです。分厚い社内規則のようなものを想像しがちですが、小規模の現場では簡潔なたたき台から始めて構いません。
最低限入れておきたい項目は次の5つです。
管理体制
院長が最終責任者、事務担当が日常の窓口、障害時のベンダー連絡担当を決める。
ID・パスワードの扱い
共有しない、退職者アカウントは無効化する、見える場所に放置しない、離席時は画面ロック。
USBメモリや私物端末の扱い
私物USBは原則使用しない、外部媒体を使うなら管理者の許可を得る。BYOD(私物スマートフォン等の業務利用)を行う場合は対象者・条件・必要な対策を明記する。
システム異常・インシデント時の対応
不審な画面やメールを見つけたらすぐ報告、自分で復旧を試みず管理者へ連絡。
教育・周知
年に1回のルール見直し、新入職員への説明、インシデント事例の共有。
テンプレートをそのまま貼り付けた規程は避けた方が無難です。「情報システム管理室」「専任のシステム管理者」のような文言が入っていても、小規模クリニックの実態に合わないことがあります。規程は立派さより、現場との一致が大切です。
BCP ― 小規模施設の最小構成
BCPは「サイバー攻撃等でシステムが止まったとき、診療をどう継続するかの非常時マニュアル」です。小規模施設では、まず次の4つが決まっていれば土台として十分です。
発動基準と紙運用への切り替え基準
脅迫文の表示やファイルが開けないといった状態を発動のきっかけにします。「ベンダーから30分以内に復旧見込みの回答が得られなければ紙運用に切り替える」のような目安を置いておくと、現場が迷いません。
初動対応と連絡先
異常を見つけたらネットワークから切り離す。報告先(院長)、ベンダーの連絡先、警察・厚労省窓口(03-6812-7837)の電話番号まで書いておくと実際に使えます。
紙でどう回すか
受付は紙、診療録も紙、処方は手書き、会計は概算の預かり金で対応し復旧後に精算。紙カルテや薬歴用紙の保管場所まで決めておくことが重要です。
復旧後の戻し方
安全確認が取れるまで再接続しない。手書き記録を誰が入力し直すか、紙の記録をどう保管するかまで決めておいて初めてBCPになります。
「方針や体制の話はあるのに、現場の紙運用が決まっていない」というBCPは使いにくいので注意が必要です。
ベンダーへの確認 ― 検査前に聞いておきたい項目
立入検査前のベンダー確認で大事なのは、「何でも聞く」のではなく、「院内だけでは判断しにくい項目」を整理して聞くことです。
| 確認項目 | 具体的な確認内容 |
|---|---|
| バックアップ | 対象、取得頻度、世代数、障害時の復元範囲、ネットワークからの分離状況 |
| リモートメンテナンス | どの機器に外部保守が入るか、関与ベンダー、保守ログの管理方法 |
| MDS/SDS | 安全管理の開示資料の有無(「サービス仕様適合開示書」等の別名で出ることもある) |
| 二要素認証 | 現在の対応状況と未対応時の更新ロードマップ |
| アクセスログ | 取得しているシステム、確認できる人、保存期間 |
| ネットワーク機器の接続元制限 | 外部接続の許可範囲、保守用接続経路の管理 |
ベンダーへ連絡する前に、使っているシステム名、対象機器の一覧、「はい」「いいえ」で迷っているチェック項目をメモしておくと、質問が具体的になり回答も整理されやすくなります。
システムの仕様や現状はベンダーに確認し、緊急連絡体制図やBCP、運用管理規程の策定は自院で決める必要があります。ベンダー回答は「聞いて終わり」ではなく、機器台帳やチェックリスト、BCPにどう反映するかまで見ておくことが大切です。
法人化のタイミングで見直すべきこと
クリニックの法人化では、登記・税務・雇用の見直しに手が取られ、IT書類の整理が後回しになりがちです。しかし、開業当初に作った書類が院長個人を主体としている場合、法人化後もそのままにしておくと立入検査で困ることがあります。
法人化で確認したい主なポイントは3つです。
契約主体の確認
電子カルテ、レセコン、予約システム、インターネット回線など、契約書の名義が個人名のままになっていないか。オンライン資格確認は、法人化で保険医療機関コードが変わると電子証明書の再設定が必要になるケースがあります。
書類の担当者欄の更新
機器台帳・運用管理規程・緊急連絡体制図・BCPの管理責任者欄や担当者名を法人の体制に合わせて書き直す。「前回整備した書類をそのまま使う」が最も多いミスパターンです。
委託先との役割分担の再確認
個人開業時にベンダーの提案をそのまま受け入れ、バックアップやログ管理がどちらの責任か曖昧なままになっているケースがあります。法人名義への契約見直しは、この曖昧だった線引きをベンダーと改めて確認・明文化する機会でもあります。
まず今日やること
ここまでの内容を一気に進める必要はありません。最初の一歩として、以下の3つから始めてみてください。
チェックリストをダウンロードして、即答できない項目に印を付ける
「院内で対応可」「ベンダー確認が必要」「契約見直しが必要」の3つに分けるだけで、目標日がかなり書きやすくなります。
院内の機器を書き出す
PC、ルーター、無線LAN、NAS、サーバーについて「どこにあるか」「誰が使っているか」をメモするだけでも、機器台帳の出発点になります。
ベンダーに聞きたいことをメモにまとめる
バックアップ、二要素認証、ログ、リモート保守の4点を整理して連絡するだけでも、準備は大きく前に進みます。
完璧な計画を最初から作る必要はありません。「今の状態を把握し、次に何をするかが見えている」状態をまず作ることが大切です。
ご質問・ご相談はお問い合わせページからお気軽にどうぞ。
※本記事は、厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」および関連するサイバーセキュリティ対策チェックリストの内容に基づいて整理しています。検査の具体的な確認内容は検査官や都道府県によって異なる場合があります。不明な点は管轄保健所への事前確認をお勧めします。