【初心者向け】薬局のサイバーセキュリティ対策チェックリスト解説:令和6年度版

薬局DX

サイバー攻撃が増加する中、薬局においてもセキュリティ対策が求められています。

本記事では、「薬局におけるサイバーセキュリティ対策チェックリスト」を使って、効果的なセキュリティ対策を行う方法を解説します。

初心者でも理解しやすいよう、各項目の意味や確認ポイントを詳しく説明していきます。

1. 医療情報システムの有無

「医療情報システムを導入、運用している」

  • 解説:電子薬歴や在庫管理システムなど、医療情報を扱うシステムがある場合は、セキュリティ対策が必要です。
  • 確認ポイント
    • システムの種類を確認(電子薬歴、在庫管理、請求システムなど)
    • 導入していない場合、以下のチェック項目はスキップ

DX加算を算定している場合は必要条件となっております。

2. 体制構築

「医療情報システム安全管理責任者を設置している (1-(1))」

  • 解説:システムの管理責任者を明確にすることで、情報漏えいリスクを減らせます。
  • 確認ポイント
    • 責任者を決めているか
    • 他のスタッフに周知しているか
    • 職務内容を明確化

3. 医療情報システムの管理・運用

「サーバ、端末PC、ネットワーク機器の台帳管理を行っている (2-(1))」

  • 解説:機器の所在や使用状況を把握することで、不正アクセスを防ぎます。
  • 確認ポイント
    • 台帳の作成(機器名、設置場所、担当者、シリアル番号など)
    • 定期的な更新と確認

「リモートメンテナンスを利用している機器の有無を確認 (2-(2))」

  • 解説:リモートメンテナンスは便利ですが、不正アクセスのリスクがあります。
  • 確認ポイント
    • 使用状況を確認し、不要な場合は無効化
    • 利用している場合は、事業者のセキュリティ対策を確認

「事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出してもらう。(2-(3))」

  • 解説:セキュリティ対策が十分かを確認するために、MDS/SDSの提出を求めます。
  • 確認ポイント
    • MDS/SDSの提出依頼と内容確認
    • 開示書の定期的な更新確認

利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。(2-(4))

  • 解説:必要最低限の情報にのみアクセスできるように権限を設定します。
  • 確認ポイント
    • 情報区分毎のアクセス権限の設定
    • 定期的な権限見直し

退職者や使用していないアカウント等、不要なアカウントを削除している。(2-(5))

  • 解説:不要なアカウントを削除して、不正利用のリスクを防ぎます。
  • 確認ポイント
    • 退職者のアカウント削除
    • 定期的なアカウント確認と整理

アクセスログを管理している。(2-(6))

  • 解説:不正アクセスの検出や原因究明のためにアクセスログを管理します
  • 確認ポイント
    • アクセスログの取得設定
    • 定期的なログの確認と保管

セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。(2-(7)

  • 解説:脆弱性を修正するために、最新のセキュリティパッチを適用します。
  • 確認ポイント
    • OSやソフトウェアの自動更新設定
    • 定期的な更新確認と適用

バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。(2-(9))

  • 解説:不要なソフトウェアやサービスを停止して、攻撃リスクを減らします。
  • 確認ポイント
    • 不要なソフトウェアの確認と削除
    • バックグラウンドサービスの無効化

利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。(2-(4))

  • 解説:接続元を限定して、不正アクセスのリスクを低減します。
  • 確認ポイント
    • IPアドレスによる接続制限の設定
    • 定期的な接続元の見直し

4. インシデント発生に備えた対応

インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡体制図がる。(3-(1))

  • 解説:迅速な対応のために、インシデント発生時の連絡体制を明確化します。
  • 確認ポイント
    • 連絡体制図の作成と共有
    • 定期的な見直しと更新

インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している。(3-(2))

  • 解説:診療継続のために、必要な情報のバックアップと復旧手順を準備します。
  • 確認ポイント
    • バックアップの実施と保管場所の確認
    • 復旧手順の確認とテスト

サイバー攻撃を想定した事業継続計画(BCP)を策定している。(3-(3))

  • 解説:サイバー攻撃に備え、事業継続計画(BCP)を策定します。
  • 確認ポイント
    • BCPの策定と周知
    • 定期的な訓練と見直し

5. セキュリティ対策の基本

「セキュリティパッチを適用している (2-(7))」

  • 解説:システムの脆弱性を修正するためのアップデートを適用しないと、サイバー攻撃のリスクが高まります。
  • 確認ポイント
    • OSやソフトウェアの自動更新設定
    • 定期的な更新確認と適用

「不要なソフトウェア及びサービスを停止している (2-(9))」

  • 解説:不要なソフトウェアが動作していると、攻撃の入口となることがあります。
  • 確認ポイント
    • タスクマネージャーで確認
    • 不要なソフトはアンインストール、サービスは無効化

7. まとめ

薬局におけるサイバーセキュリティ対策は、患者情報を守るために非常に重要です。

今回紹介したチェックリストを定期的に確認することで、セキュリティレベルを維持・向上させましょう。

また、令和6年度中にすべての項目を「はい」にすることを目標に取り組んでください。

DX加算を算定している薬局は個別指導時に必要書類があるかチェックされることもあります。備えておけば安心ですので是非作成してみてください。

8. 関連リンク

  • 薬局におけるサイバーセキュリティ対策チェックリストマニュアル
    詳細な確認方法については、公式マニュアルを参照してください。

9. おわりに

サイバー攻撃の手口は年々巧妙化しています。

チェックリストを活用して、薬局内の情報セキュリティ対策を徹底しましょう。

タイトルとURLをコピーしました