サイバー攻撃を想定した事業継続計画（BCP）の作成について
厚生労働省では、令和５年度から、医療法に基づく医療機関に対する立入検査の項目
に、サイバーセキュリティ対策を位置付けました。立入検査の際に確認する項目は、「医
療情報システムの安全管理に関するガイドライン」から優先的に取り組むべき項目につ
いて、「医療機関におけるサイバーセキュリティ対策チェックリスト」（以下「チェック
リスト」という。）によりお示ししてきたところです。
昨今の巧妙化したサイバー攻撃の現状において、セキュリティ対策を講じることでリ
スクを低減させることはもちろん重要ですが、リスクを完全に排除することはできませ
ん。
例えば、過去には、
・インシデント発生時の初動対応について十分に協議されておらず、証拠保全が不十分
となり、被害範囲の特定ができなかった、
・インシデント発生時に、ネットワーク機器が院内のどこに配置されているかわから
ず、原因究明に時間を要した、
・ランサムウェアによる攻撃の際に、バックアップが適切に確保できておらず、復旧が
難航した、
といった事例が実際に発生しており、このようなケースでは、診療継続を含めた医療
機関の機能に重大な影響が生じます。
サイバー攻撃を「どのように防ぐか」だけでなく「発生時にどのように対応するか」
という意識で、非常時に診療への影響を最低限に抑えるための対応を、あらかじめ「サ
イバー攻撃を想定した事業継続計画（BCP）」（以下「BCP」という。）として策定しておく
ことで、適切な復旧対応等を行うことが可能となります。
こうしたことから、チェックリストの項目としても、医療機関に対して BCP の策定を
求めており、今般、BCP の策定に際して参考としていただけるよう、「サイバー攻撃を想
定した事業継続計画（BCP）策定の確認表」（以下「確認表」という。）を作成しまし
た。医療機関の特性に応じて必要とされる BCP は様々ですが、今般作成した確認表等や
関係団体より発出されている資料等を参考に、貴施設においてもサイバー攻撃を想定し
た BCP の策定をお願いします。