医療情報システムの安全管理に関するガイドラインで求めるセキュリティ体制
診調組 入－４
３ ． １ ０ ． １

6.10 災害、サイバー攻撃等の非常時の対応
ガイドライン
(4) 非常時に備え
たセキュリティ体
制の整備

論点
サイバーセキュリティ事故
情報の報告スキーム

改定における対応
Ｂ項に「(4) 非常時に備えたセキュリティ体制の整備」を新設し、緊急時対応に
必要な体制の構築の必要性を追記。
一定の医療機関等において、CISOやCSIRTの設置の必要性を追記
「医療機関等におけるサイバーセキュリティ対策の強化について」（医政総発
1029 第１号 医政地発1029 第３号 医政研発1029 第１号 平成30
年10 月29 日）に示す報告を行うこと及びこれに必要な体制を整備する旨に
変更（C項）

B．考え方
(4) 非常時に備えたセキュリティ体制の整備
非常時やサイバー攻撃などに対して、的確に対応できるためにセキュリティ体制を医療機関等においても構
築することが求められる。非常時等において必要な原因関係の調査、必要なセキュリティ対応等に関する指
揮、所管官庁等への報告などの体制については、平常時から明確にする必要がある。
また、一定規模以上の病院や、地域で重要な機能を果たしている医療機関等においては、そのために情報
セキュリティ責任者(CISO)等の設置や、緊急対応体制（CSIRT等）を整備するなどが強く求められる。

C．最低限のガイドライン
5. コンピュータウイルス の 感染などによるサイバー攻撃を受けた（疑い含む）場合や、サイバー攻撃により障
害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのおそれがある事案であると判断さ
れた場合には、「医療機関等におけるサイバーセキュリティ対策の強化について」（医政総発1029 第１号
医政地発1029 第３号 医政研発1029 第１号 平成30 年10 月29 日）に基づき、所管官庁への連絡等、必要
な対応を行うほか、そのための体制を整備すること。また上記に関わらず、医療情報システムに障害が発生
した場合も、必要に応じて所管官庁への連絡を行うこと。
622