top of page

クリニックサイバーセキュリティー指針

1. 基本方針(セキュリティポリシー)

1-1. 目的

本マニュアルは、当院が取り扱う医療情報(患者情報、診療データ、画像、事務情報等)を不正アクセス・

改ざん・喪失・漏えいなどの脅威から守り、診療体制を安全に継続するための指針とする。

1-2. 適用範囲

  • 電子カルテ:M3デジカル(クラウド型)

  • 利用端末:
     - 診察室1:Mac ×1、Windows x1
     - 診察室2:Mac ×1、Windows x1
     - 事務室:Windows ×3、Mac ×1
     - 処置室:Mac ×1 

  •  - 放射線室前:、Windows x2

  • ネットワーク・Wi-Fi・プリンター・院内サーバー・予約/会計システム

  • 職員(院長・看護師4名・事務4名)

  • 外部委託先(機器保守、ITベンダー)

1-3. 責任体制

  • 情報セキュリティ管理責任者:院長(中村泉)

  • 情報システム管理者:事務責任者1名 (同上)
     – 電子カルテ、端末、ネットワークの日常管理
     – 外部ベンダーとの連絡窓口

  • 全職員
     – 本マニュアルの遵守、研修受講、インシデントの早期報告

1-4. 参照基準

  • 厚生労働省「医療情報システムの安全管理に関するガイドライン(第6.0版)」

  • 医療機器サイバーセキュリティ指針

  • 当院の内部規程

2. IT資産一覧とリスク評価

2-1. 当院の資産(現状)

●電子カルテ

  • M3デジカル(クラウド型)
    → 医療情報はクラウド保管だが、端末と通信路を守る必要性が高い。

●院内端末

  • Mac:診1、診2、処置室、事務1(計4台)

  • Windows:事務室、診1、診2、レントゲン室(計7台)
    → OS種別が混在するためアップデート管理が重要。

●ネットワーク

  • 院内Wi-Fi(医療用)

  • 来客用Wi-Fi(分離必須)

  • ルーター/ファイアウォール機能付き

●その他

  • プリンター、複合機

  • ネットワーク対応医療機器(該当機器があれば追記)

2-2. リスク評価(簡易)

3. 技術的対策

3-1. 端末管理

  1. 全端末で自動更新をONにする
     - macOS 最新化
     - Windows Update の定期確認

  2. 不要ソフトのインストール禁止

  3. ウイルス対策ソフトの導入(Windowsは必須)

  4. ログインアカウントは個別のID
     - 共用アカウントは禁止

  5. スクリーンロックの自動設定(3〜5分)

3-2. パスワード管理

  • 長さ12文字以上推奨

  • 診療用PCと個人利用PCのパスワードを共通にしない

  • メモをモニター等に貼らない

  • 院内Wi-Fiパスワードは半年に1回変更

  • 可能であれば多要素認証(M3デジカルの設定に準ずる)

3-3. ネットワーク対策

  1. 診療用ネットワークと来客用ネットワークを完全に分離

  2. Wi-Fiルーターの初期パスワードを変更済みであること

  3. 外部アクセス(リモート接続)は原則禁止

  4. 不要なポートは閉じる

  5. ファイアウォール設定を定期点検

3-4. データ保護

  • 電子カルテはクラウド型のため、院内端末のバックアップは必要最低限

  • 事務データ(会計・書類)は NASまたはクラウドストレージへ定期バックアップ

  • USBメモリの利用は原則禁止(許可制)

3-5. 物理セキュリティ

  • 診療室・事務室の施錠管理

  • 来客エリアとバックヤードの導線を分離

  • 端末盗難防止ワイヤー(可能なら)

4. インシデント対応(緊急時マニュアル)

4-1. 発生時の基本フロー

  1. 発見者は即座にシステム管理者へ連絡

  2. 該当PCのネットワークを遮断(LANケーブル抜く/Wi-Fi OFF)

  3. 事務責任者 → 院長へ報告

  4. 必要に応じて M3デジカル サポートへ連絡

  5. 被害箇所の切り分け・復旧作業

  6. 再発防止策の検討・報告書作成

4-2. 想定インシデント例と対応

① ウイルス感染の疑い

  • 操作停止 → ネットワーク遮断 → 管理者へ報告 → スキャン → 復旧

② フィッシングメールを開封してしまった

  • クリックした時点で報告

  • パスワードを変更

  • メールは削除し、職員へ注意喚起

③ 端末の紛失・盗難

  • アカウント停止

  • M3デジカルへの連絡

  • 状況に応じて警察届け出

④ 電子カルテにログインできない

  • M3デジカル側の障害か端末障害かを確認

  • 緊急時は紙カルテへ切り替え可能にしておく(予備紙カルテ帳を用意)

4-3. 緊急連絡先一覧(サンプル)

  • 院長(管理責任者):中村泉

  • システム管理者(事務責任者):中村泉

  • M3デジカルサポート

  • ネットワーク保守会社:郡山情報処理センター

  • 医療機器ベンダー :(株) コセキ

5. 運用ルール(全職員対象)

5-1. メール・インターネットの利用

  • 添付ファイルは送信者と内容を必ず確認

  • 不審なURLをクリックしない

  • 個人用クラウド(LINE・Google Drive等)へのアップロードは禁止

5-2. モバイル端末

  • スマホを診療端末へUSB接続しない

  • 撮影データ(外傷など)は必要時のみ院内クラウドへ保存し速やかに削除

5-3. 外部委託先(IT業者等)の取り扱い

  • 作業時は職員立会い

  • パスワードは業者に共有しない

  • 委託契約書にセキュリティ条項を含める

6. 職員教育と評価

6-1. 年間教育スケジュール

  • 年1回:全職員向けセキュリティ研修(オンライン可)

  • 四半期ごと:注意喚起メール(事務責任者より)

  • 新人教育:入職初日にマニュアル確認

6-2. 研修内容

  • フィッシングメールの見分け方

  • 電子カルテの安全な利用

  • パスワード管理

  • インシデント報告の手順

7. チェックリスト(毎月・毎年)

7-1. 毎月チェック

  • OSアップデート

  • セキュリティソフトの定義更新

  • Wi-Fiルーターの稼働確認

  • ログイン記録(異常ログあり/なし)

7-2. 年次チェック

  • パスワード変更

  • セキュリティ規程の見直し

  • ネットワーク構成の更新

  • 外部委託契約の更新確認

  • 厚労省チェックシートでの自己診断

8. マニュアルの維持・更新

  • 年1回以上の見直し

  • 新しい医療機器導入時・システム変更時に追加改訂

  • 改訂履歴を末尾に記録

9. 添付資料

  • 端末一覧表

  • パスワード更新記録表

  • 年間研修計画

  • インシデント報告書フォーマット

  • 緊急連絡網: 職員グループLINE

                           2025.12.20 第一版作成

bottom of page