診療を止めない。患者の情報を守る。これは医療に関わる誰もが共有する大前提であり、サイバーセキュリティが医療施設にとって不可欠である理由もここにあります。2026年6月、厚生労働省から正式に公表された「医療情報システムの安全管理に関するガイドライン第7.0版」は、この大前提を制度として明確にガイドライン化したものです。

2026年に入ってから、残念ながら国内医療業界のサイバーインシデントが続いています。ランサムウェアによる被害を中心に、ナースコールや電子カルテシステムの停止、それに伴う医療行為の停止を余儀なくされたケースもあります。医療業界のインシデント事例に関しては別の記事で記載していますので、そちらも是非ご一読ください。

https://www.cybereason.co.jp/blog/se-insight/14176/

第7.0版はすでに正式版として策定・公表されており、方向性は完全に確定しました。医療機関は、示された要件を前提に、今から準備を進めるべき段階に入っています。

なお第7.0版は、従来の「6.0版」からのメジャーバージョンアップに位置づけられ、これまでの「概説編」「経営管理編」「企画管理編」「システム運用編」に加え、専門人材が不足している小規模医療機関を想定した「保守委託機関編」が新たに追加されました。


第7.0版(案)の主要な変更点

第7.0版(案)の主要な変更点

① 根拠法に「サイバーセキュリティ基本法」が追加

第7.0版で見落とせないのが、ガイドラインの位置づけそのものの変化です。第7.0版からは、ガイドラインの根拠法に「サイバーセキュリティ基本法」が追加され、「重要インフラのサイバーセキュリティに係る安全基準等策定指針」との整合性が確保されました。

これは、医療が社会の重要インフラの一つとして明確に位置づけられたことを意味します。サイバーセキュリティ対策は、単なる「加算対応」や情報システム部門の課題ではなく、医療機関の事業継続そのものに関わる経営課題へと格上げされたと言えます。

② 二要素認証の対象が明確化

認証が突破されれば、電子カルテやオーダリングシステムに不正アクセスされ、最悪の場合、診療データの改ざんや暗号化によって医療行為そのものが止まりかねません。患者の情報を守り、診療を継続するためには、「誰が・どの端末からアクセスしているか」を厳格に確認する仕組みが欠かせません。

第7.0版は、この認証強化の必要性を、「クライアント端末およびサーバーが対象である」という形で明確化しました。第6.0版でも二要素認証の導入は求められていましたが、対象範囲が曖昧だったため、その点を具体化したものです。

ここでいう「サーバー」は、医療情報の保存や主要な処理を担う機器を指し、原則としてPCやタブレット等のクライアント端末は含みません。ただし、電子カルテアプリ等を端末にインストールし、当該機器上で処理が完結する場合は、PC等の端末も「サーバー」に含まれます。自院の環境がどちらに該当するかは、棚卸しの段階で切り分けておく必要があります。

対応期限についても、令和9年(2027年)4月1日が明確に示されました。それまでに対応が困難な場合は「次期システム改修時での対応」を許容する緩和措置が正式に設けられています。義務化の方向性と期限自体は明確に示されており、猶予はあくまで例外的な措置と捉えるべきです。

③ パスワード要件の見直し

単純なパスワードや使い回しによるサイバー攻撃被害が発生している実態を受け、第7.0版ではパスワード管理のルールが見直されました。具体的には、パスワードの使い回しの禁止と、アカウントロック機能の導入が明記されています。

一方で、これまで慣行的に行われてきた「定期的なパスワード変更」は、セキュリティ強化への効果が限定的であるとして、要件から削除されました。「定期変更を続けていれば安心」という従来の運用は、もはやガイドラインの求める姿ではありません。認証まわりの運用ルールそのものを見直すタイミングです。

④ 「保守委託機関編」の新設

専門のセキュリティ人材を院内に置けない医療機関であっても、患者の情報を守り、診療を止めないという要請から逃れることはできません。規模の大小にかかわらず、すべての医療機関が同じ前提に立つ必要があります。

この前提を踏まえ、第7.0版では、セキュリティ専門人材が不足している医療機関を想定した「保守委託機関編」が新設されました。これは、「ガイドライン対応は大規模病院だけの話」という誤解を明確に否定するものです。システム運用担当者が不在の小規模な医療機関であっても、外部委託を活用しながら準拠することが求められます。

重要なのは、この編が単なる補足ではないという点です。システム保守やセキュリティアップデートを事業者に委託している医療機関(クラウドサービスの利用を含む)では、「保守委託機関編」への準拠によって、他編の一部要件も満たしているものとみなされる仕組みとなっています。外部委託を前提とした運用が、正式に「準拠の一つの形」として位置づけられたわけです。

⑤ サイバーセキュリティチェックリストの更新

自院で専門知識を持たないまま委託先を選ぶ場合、「その事業者が本当に患者の情報を守れるのか」を判断する手段が必要です。でなければ、委託すること自体が新たなリスクになりかねません。

この課題に対応する形で、「保守委託機関編」の新設に伴い、医療機関が事業者選定・自己点検の際に用いるサイバーセキュリティチェックリストも更新されました。なお、令和7年度版までは「医療機関用」と「薬局用」に分かれていたフォームが、チェック項目が同一であることから「医療機関・薬局におけるサイバーセキュリティ対策チェックリスト」として統合されています。

更新の中心となるのは、MDS/SDS(製造業者/サービス事業者による医療情報セキュリティ開示書)の確認項目です。保守委託機関編では、医療情報システムを導入する際に事業者へMDS/SDSの提出を求め、項目について「はい/いいえ/対象外」で確認することが遵守事項として位置づけられています。

MDS/SDS確認の流れ(事業者選定・自己点検のプロセス)

具体的な確認項目には、不正ソフトウェア対策機能、なりすまし対策、二要素認証対応、そしてアクセスログ機能の有無・アクセスログへのアクセス制限・情報アクセス履歴の保存機能といった、ログの管理・監視に関する項目が含まれています。あわせて、パフォーマンス管理・死活監視を委託契約のSLAで明確化することも遵守事項として位置づけられています。

専任のシステム担当者を持たない医療機関であっても、このチェックリストを使えば委託先事業者のセキュリティ対応力を具体的な項目に基づいて判断できます。今後の立入検査や自己点検においても、この確認結果が実質的な評価基準として扱われます。


この変更が医療業界のセキュリティに与える影響

認証強化だけでは守りきれない現実

二要素認証の対象明確化は、不正アクセス対策として重要な一歩です。しかし注意したいのは、二要素認証は「万能」ではないということです。

近年、二要素認証を回避する「AiTM(Adversary-in-the-Middle)攻撃」など、認証そのものを突破する手口が増えています。フィッシングでセッションを乗っ取られれば、二要素認証を導入していても侵入を許すことになってしまいます。

つまり、ガイドラインが求める認証強化は「入口を固める」第一歩ではありますが、それだけでは不十分です。侵入されることを前提とした、侵入後の検知・対応が不可欠となります。

AiTM(Adversary-in-the-Middle)攻撃の仕組み

人材不足という構造的課題

「保守委託機関編」が新設されたこと自体が、医療業界の深刻なセキュリティ人材不足を物語っています。多くの医療機関、特に中小規模の施設では、専門人材を内部に抱える余裕がないのが実情です。

この現実に対し、ガイドラインは外部委託の活用を正面から認めました。裏を返せば、自院だけで完結しない、外部の力を借りた運用体制が標準になっていくということです。

医療機関のセキュリティ人材不足と外部専門家による支援体制

結局のところ、医療機関は何が求められることになるのか

ここまで見てきた変更点と影響を踏まえると、第7.0版が医療機関に求めるのは、単発の対策ではなく「ガイドラインに沿った運用体制の整備」そのものです。委託先事業者のセキュリティ対応力が、医療機関の事業者選定における重要な評価軸として定着していき、自院だけでなくサプライチェーン全体での安全性確保が問われる時代に入りました。

具体的に医療機関が取るべきアクションを、ガイドラインの期限を軸に整理します。(僭越ながら、案として提示させていただきます。)

【即時~2026年内】現状把握と棚卸し

  • クライアント端末・サーバーの認証方式の棚卸し(二要素認証対応状況。自院の機器がガイドライン上の「サーバー」に該当するかの切り分けを含む)
  • パスワード運用ルールの見直し(使い回し禁止・アカウントロックの導入状況、定期変更要件の撤廃)
  • 利用中のアンチウイルスが既知シグネチャ依存型か、振る舞い検知に対応しているかの確認
  • 主要な医療情報システムごとに、事業者からMDS/SDSの提出を受け、対応状況を確認

【2027年4月まで】二要素認証と運用基盤の実装

  • 端末・サーバーへの二要素認証の実装、もしくは次期システム更新時に二要素認証対応可能な事業者の選定確定
  • 委託契約におけるSLAの見直し(パフォーマンス管理・死活監視・アクセスログ取得の範囲を明文化)
  • アクセスログ・操作履歴の取得と保管、ログへのアクセス制限の整備

【継続的取り組み】侵入を前提とした検知・対応体制の構築

  • 侵入後の異常を検知できるエンドポイント監視の仕組み導入
  • インシデント発生時の隔離・封じ込め手順と、外部報告先(厚労省・警察等)への連絡体制の整備
  • 自院で運用が難しい場合は、外部の専門サービス(監視・対応の委託)の活用検討

EDR・NGAVがガイドライン対応をどう支えるか

第7.0版が示す方向性に対して、NGAV(Next Generation Anti-Virus)とEDR(Endpoint Detection and Response)は具体的かつ実践的な解決策を提供します。

認証強化だけでは守りきれない現実(AiTM攻撃とEDRによる検知・対応の流れ)

NGAV:認証を突破された後の「実行阻止」

二要素認証を回避して侵入されたとしても、攻撃者は最終的にマルウェアやランサムウェアを実行しようとします。NGAVは、AIによる振る舞い検知で、シグネチャに存在しない未知のマルウェアであっても実行前にブロックします。これによってNGAVは認証突破の「次の防衛線」となります。

EDR:認証突破・侵入を「検知し、封じ込める」

EDRは、認証を回避した侵入者の不審な挙動(通常とは異なる時間帯のアクセス、横展開の試み、外部サーバーへの不審な通信)をリアルタイムで検知します。AiTM攻撃のような認証突破型の脅威に対し、EDRは「侵入後の異常」を捉えて封じ込める役割を担います。

ガイドライン要件とEDR・NGAVの対応関係

第7.0版(案)の要件とEDR・NGAVの役割の対応関係

特に「保守委託機関編」が示す外部委託の方向性は、EDRを活用したMDR(Managed Detection and Response)による監視サービスと高い親和性を持っています。人材不足の医療機関が、専門家による24時間監視を現実的なコストで導入できる有効な選択肢となります。

外部委託の方向性とMDRの親和性

特に「保守委託機関編」が示す外部委託の方向性は、EDRを活用したMDR(Managed Detection and Response)による監視サービスと高い親和性を持っています。人材不足の医療機関が、専門家による24時間監視を現実的なコストで導入できる有効な選択肢となります。前述のとおり、保守委託機関編への準拠が他編の一部要件を満たすものとみなされる仕組みを踏まえれば、監視・対応を外部の専門サービスに委ねる体制は、ガイドライン準拠と実効的な防御を同時に前進させる現実解と言えます。


これまでの内容を踏まえてCybereasonが提供する備え

ここまで見てきたように、第7.0版が示す個々の要件、つまり認証強化・パスワード要件の見直し・保守委託機関編・チェックリストの更新は、すべて一つの大前提のためにあります。「診療を止めない」「患者の情報を守る」という、医療現場にとって当たり前の大前提を、制度として運用に落とし込んだものにほかなりません。そしてサイバーセキュリティ基本法が根拠法に加わったことで、この前提は「重要インフラを守る」という国家的な要請とも接続されました。

この前提を技術的に支えるのが、NGAV・EDR・MDRという組み合わせです。重要なのは、これらを個別に導入・運用するのではなく、一つのプラットフォームでシンプルに実現できるという点です。専門人材が不足している医療機関ほど、複数のセキュリティ製品を別々に管理する余裕はありません。Cybereasonは、認証突破後の実行阻止(NGAV)、侵入後の検知・封じ込め(EDR)、そして24時間365日の監視・対応の代行(MDR)を、単一のプラットフォームとして提供することで、この課題に応えます。

なお、Cybereasonの提供するプラットフォームは、政府情報システムのクラウドサービス調達基準であるISMAPにも登録されています。これは、ガイドラインが直接求める項目ではありませんが、事業者選定における客観的な判断材料の一つとして、念頭に置いていただける情報です。

医療現場で求められるのは、止まらない診療と守られる患者情報の両立です。Cybereasonは、規制対応のためだけでなく、医療提供を継続するための備えとして、医療機関のセキュリティを支えます。


※本記事は2026年7月時点の公開情報に基づき、厚生労働省「医療情報システムの安全管理に関するガイドライン第7.0版」(2026年6月策定・公表)を参照しています。