災害、サイバー攻撃等の非常時の対応に関する解説
我が国は大規模な自然災害が比較的多く見られ、事例の蓄積も多い。そのため医療情報シ
ステムが通常の状態で使用ができない事態に陥った場合における適切な BCP の作成と訓練
は可能であり、必須の事項と考えられる。
「通常の状態で使用できない」とは、システム自体が異常動作又は停止になる場合と、使
用環境が非定常状態になる場合がある。
前者としては、医療情報システムが自然災害やサイバー攻撃等により、システム的に損傷
を被ることにより、システムの縮退運用又は全面停止に至り、医療サービス提供に支障発生
が想定される場合である。
後者としては、自然災害発生時には多数の傷病者が医療サービスを求める状態になり、医
療情報システムが正常であったとしても通常時のアクセス制御下での作業では著しい不都
合の発生が考えられる場合である。この際の個人情報保護に関する対応は、
「生命、身体の
保護のためであって、本人の同意を得ることが困難であるとき」に相当すると解せられる。
（1） 非常時における事業継続計画
以下に、BCP として策定すべき項目と運用に関する一般項目を参考に掲げる。
① BCP として事前に周知しておく必要がある事項
事前に関係者に対応策の周知を行い、信頼を得ておく必要がある。
・

ポリシーと計画
何が「非常事態」なのかを理解し、定義すべきである。

・

非常事態検知手段
災害や故障の検知機能と発生情報の確認手段

・

非常時対応チームの連絡先リスト、連絡手段及び対策ツール

・

非常時に公にすべき文書及び情報

② BCP 実行フェーズ
災害、事故やサイバー攻撃等の発生（あるいは発生の可能性）を検知してから、BCP 実
行か通常の障害対策かの判断を行い、BCP 実行と判断した場合は関係者の召集、対策本
部等の設置、関係先への連絡・協力依頼を行い、システムの切り替え／縮退等の準備を
行う。例えば、ネットワークから切り離したスタンドアロンでの使用や、紙での運用等
が考えられる。
業務を受託する事業者との間の連絡体制や受託する事業者と一体となったトラブル
対処方法等が明示されるべきである。また、医療情報システムに障害が発生した場合は、
必要に応じて所管官庁への連絡を行うべきである。
具体的項目は、
「基本方針の策定」、
「発生事象の確認」、
「安全確保・安否確認」、
「関係

46