クリニック開業時に押さえておきたいIT整備の全体像

対象読者: これから開業するクリニックの院長・事務長、または開業後にIT整備を見直したい方

開業準備でITが後回しになる理由

クリニック開業では、物件・資金・スタッフ・医療機器が先に動きます。ITまわりは「電子カルテを入れる」「ネットがつながる」で止まりがちです。

ただ、患者情報を扱うシステムは電子カルテだけではありません。レセコン、予約システム、オンライン資格確認、画像システム、院内PC・タブレット・ルーター。これらすべてが管理対象になります。

そして、ITの整理と保健所対応は分けて考えにくい部分があります。患者情報を扱うシステムや機器が見えないと、どこまでを管理対象にするか判断できません。逆に、立入検査で求められる書類を知っておくと、導入前にベンダーへ聞いておくべきことも見えてきます。

まず整理したいのは「患者情報を扱うシステムと機器」

最初にやっておきたいのは、どのシステムや機器で患者情報を扱うのかをざっくり並べることです。

クリニック開業時によく入るのは次のようなものです。

• 電子カルテ
• レセコン
• 予約システム
• オンライン資格確認
• 画像や検査データを扱うシステム
• 院内で使うパソコン、タブレット、ルーター、無線LAN

「主役の電子カルテだけ見ればよい」とは考えないことが大事です。予約、会計、資格確認、画像、周辺機器まで含めて、患者情報につながるものは複数あります。

開業前の時点でこの一覧が頭に入っているだけでも、後で機器台帳やベンダー確認を進めやすくなります。

立入検査で求められる4つの書類

保健所の立入検査では、サイバーセキュリティ関連で4つの書類の「現物確認」が行われます。開業前から完璧に仕上げる必要はありませんが、何を書くものなのかは把握しておくべきです。

1. 機器台帳 ― 院内のIT機器を書き出す

院内のネットワークにつながっている機器の一覧表です。受付のパソコン、診察室の端末、電子カルテのサーバー、Wi-Fiのルーター、スタッフ用のタブレットなどが対象になります。

記載する項目は主に7点です。

「院内のどこに、何のIT機器が、何台あるのか」を把握するための一覧です。すべてのセキュリティ対策の土台になります。

2. 緊急連絡体制図 ― サイバー攻撃時にどこへ連絡するか

万が一サイバー攻撃を受けた際の連絡先をまとめたリストです。基本的には以下の3カ所が中心になります。

• ITベンダー（システム保守会社）
• 厚生労働省の担当窓口および管轄の保健所（厚労省窓口: 03-6812-7837）
• 警察（都道府県警のサイバー犯罪相談窓口）

3. BCP ― システムが止まったときの診療継続手順

サイバー攻撃や通信障害で電子カルテやレセコンが使えなくなった時に、どうやって診療を続けるかの手順書（事業継続計画）です。

大規模病院のような何十ページもの分厚いマニュアルは必要ありません。以下の4つの取り決めを整理しておくことが現実的な目安です。

4. 運用管理規程 ― スタッフ向けの運用ルールの明文化

日常業務におけるセキュリティルールをスタッフ向けに文書化した規程です。

• 管理体制（管理者と利用者の役割）
• 私物のUSBメモリの接続禁止
• パスワードの使い回しや、モニターへの付箋貼りの禁止
• 退職者が出た際のアカウント削除の手続き
• インシデント発生時の対応手順
• 教育・周知（年1回の研修や回覧）

これまで「うちではずっとこうしてきた」「常識的にやってはいけない」で済ませていた暗黙のルールを、紙に落とし込んでおくことが立入検査では求められます。

電子カルテの契約前にベンダーへ確認したい6つのこと

電子カルテの選定では価格・機能・操作性が比較の中心ですが、契約後に「聞いておけばよかった」と気づく論点があります。デモや標準的な提案書では触れられにくく、契約後に確認すると「オプション対応です」「契約外です」と言われることがあります。

厚労省の「医療情報システムの安全管理に関するガイドライン 第6.0版」でも、契約前のベンダー確認は想定されている流れです。以下の6項目を、導入前に押さえておくことを勧めます。

1. バックアップの仕様と復旧範囲

「バックアップを取っている」だけでは不十分です。確認すべきは「何が、どこまで戻せるか」。

• 何を対象にバックアップするのか（カルテデータだけか、設定情報やプログラムも含むか）
• どの頻度で取得するのか
• 何世代分残るのか
• 障害時にどの時点まで復元できるのか
• バックアップデータはネットワークから分離されているか

ガイドラインでは、データだけでなくシステムを動作させるためのプログラムや設定もバックアップしておく必要がある（フルバックアップ）と明記されています。最後の点はランサムウェア対策で重要です。バックアップがネットワーク上にある場合、本体と一緒に暗号化されるリスクがあります。

2. 二要素認証の対応状況とロードマップ

サイバーセキュリティ対策チェックリストでは、「二要素認証を実装している、または令和9年度までに実装予定である」が確認項目になっています。

• 現時点で二要素認証に対応しているか
• 未対応の場合、いつの更新で対応予定か
• 何をもって「二要素認証」としているか（生体認証、ICカード、ワンタイムパスワードなど）

未対応の製品を選んだ場合、令和9年度までに別途対応が必要です。それが標準アップデートに含まれるのか、追加費用が発生するのかも契約前に確認したい点です。

3. リモートメンテナンスの有無と管理

導入後の保守対応がリモートで行われるかどうかは、運用にもチェックリスト対応にも関わります。

• リモートメンテナンスの有無
• どの機器・システムに外部から保守接続が入るのか
• 保守作業のログが残るか、誰が確認できるか

リモートメンテナンスがあること自体は問題ありません。ただ、「どの経路で、どのベンダーが、どの機器に入るのか」を把握しておかないと、機器台帳やチェックリストを作る段階で手が止まります。

4. MDS/SDS（セキュリティ開示資料）の提供可否

MDS/SDSは、ベンダーが医療機関に提出する安全管理に関する開示資料です。厚労省の「役割分担等に関する確認表」でも最初の確認項目として挙がっています。

• MDS/SDSまたはそれに相当する資料を提出できるか
• 対象はどのシステム・サービスか
• 「サービス仕様適合開示書」「セキュリティ仕様回答書」など別名で出すことがあるか

名称が違っても、自社システムの安全管理対策が書面で確認できれば実質的に同じものです。提出を受けることで、そのベンダーがどの対策をどこまでカバーしているかが書面で把握できます。提出できないベンダーの場合、院内で個別にヒアリングして整理する負担が大きくなります。

5. アクセスログの取得範囲

ガイドライン第6.0版では、アクセスログに記録すべき最低限の内容として以下の3つを求めています。

1. 利用者のログイン時刻
2. アクセス時間
3. ログイン中に操作した医療情報（誰のカルテを見たか）

この基準を踏まえて確認したいのは、

• 上記3点が標準機能で記録されるか
• どのシステム・機器でログを取得しているか
• ログの保存期間はどのくらいか
• 院内の管理者がログを確認できるか

ログは単に収集するだけでなく、レビューを通じて不正利用の探知にも使うことが想定されています。「ログがある」だけでなく「確認できる」ことが重要です。

6. 責任分界 ― 何がベンダー対応で、何が院内判断か

上記5項目すべてに共通する大事な視点です。厚労省の「役割分担等に関する確認表」でも、医療機関側の項目と事業者との共同項目が分けて整理されています。

• ベンダーに確認しやすいもの: バックアップ仕様、二要素認証の対応可否、リモート保守の経路、MDS/SDSの提出、ログの取得範囲
• 院内で決める必要があるもの: 運用管理規程の策定、BCPの優先順位、連絡体制図の作成、チェックリストへの記入

この線引きがあいまいなまま契約すると、「聞いたはずだが書面がない」「ベンダー任せにしていたが対象外だった」ということが起きやすくなります。

開業前にどこまでやればいいか

ここまで読むと「開業前からそこまで考えるのは大変だ」と感じるかもしれません。その感覚は自然です。全部を固めるのは現実的ではありません。

次の4つができていれば、開業後の対応はかなり楽になります。

「何から手を付ければよいか分からない」という状態を、開業前に解消しておくことが目標です。

まだ整理していなければ、今日は次の3つだけでも十分です。

この3つで、開業準備のITまわりが「何となく進めるもの」から「確認しながら進めるもの」に変わります。

ご質問・ご相談はお問い合わせページからお気軽にどうぞ。

※本記事は、厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」および関連するサイバーセキュリティ対策チェックリストの内容に基づいて整理しています。検査の具体的な確認内容は検査官や都道府県によって異なる場合があります。不明な点は管轄保健所への事前確認をお勧めします。