2026年度の診療報酬改定では、医療DXに関する評価が見直され、新たに電子的診療情報連携体制整備加算が設けられました。これは、オンライン請求やオンライン資格確認、診療情報の活用、電子処方箋、電子カルテ情報共有など、医療機関が電子的に診療情報を連携し活用するための体制を段階的に評価する仕組みです。厚生労働省の資料では、外来側では初診時に加算1が15点、加算2が9点、加算3が4点、再診時は2点と整理されています。
一方で、この改定を「医療DXの加算が増えた」とだけ理解すると、本質を見誤ります。今回の改定で重要なのは、電子化そのものよりも、電子化された情報を安全に運用し、非常時にも診療を継続できる体制をどう作るかが一段と問われるようになったことです。特に入院側の施設基準では、厚生労働省の安全管理ガイドラインへの対応、専任の医療情報システム安全管理責任者、研修、複数方式のバックアップ、オフライン保管、BCPの策定と周知など、セキュリティに直結する要件が明確に盛り込まれています。
この記事では、電子的診療情報連携体制整備加算のうち、特にセキュリティに関係する部分だけに絞って、医療機関としてどこを重視すべきかを分かりやすく解説します。あわせて、制度対応の話だけではなく、攻撃者の目線から見ると何が危ないのか、どのような運用だと狙われやすいのかも実務的にお伝えします。
電子的診療情報連携体制整備加算で、セキュリティに関係するのはどこか
この加算は、外来側では(1)から(10)までの要件で構成されていますが、セキュリティに特に関係が深いのは、安全管理ガイドラインに準拠した電子カルテを備えることと、電子カルテ情報共有サービスや地域連携ネットワークを安全に活用できる体制を持つことです。厚生労働省の外来医療に関する改定資料では、上位要件の一つとして、一定条件を満たす電子カルテの保有が求められており、その条件の中に「医療情報システムの安全管理に関するガイドライン」への対応が含まれています。
つまり、単に「電子カルテが入っている」だけでは足りません。電子カルテが電子処方箋管理サービスや電子カルテ情報共有サービスとつながるだけでなく、安全に運用できる状態であることが前提になっています。院内の端末管理、権限管理、委託先管理、バックアップ、障害時の対応まで含めた安全管理ができていなければ、制度上は整っているように見えても、実際には非常に危うい状態になり得ます。
さらに、入院側の電子的診療情報連携体制整備加算では、セキュリティに関する要求がさらに具体的です。厚生労働省の改定資料では、安全管理ガイドラインに対応していること、専任の医療情報システム安全管理責任者を配置していること、年1回程度の研修、非常時に備えた医療情報システムのバックアップを複数方式で確保し、その一部をオフラインで保管していること、業務継続計画を策定し職員に周知していることなどが求められています。
なぜ今、ここまでセキュリティが重視されるのか
理由は明確です。医療機関では、電子カルテ、オーダリング、レセプト、検査、画像、地域連携など、診療に必要な情報がデジタルに集約されています。そのため、一度システム障害やサイバー攻撃が起きると、単なる事務トラブルでは済まず、診療そのものに影響するからです。厚生労働省の安全管理ガイドライン第6.1版も、医療情報システムの安全管理について、認証・認可、リスク評価、外部保存、ウイルス等による破壊防止、記録媒体の保全、整合性不備による復元不能の防止などを体系的に求めています。
しかも、攻撃者は「電子カルテそのもの」だけを狙っているわけではありません。実際には、止まると困る周辺システム、弱い端末、運用の抜け、バックアップの甘さ、リテラシーの低い人間を見ています。厚労省の疑義解釈でも、非常時に備えるべき医療情報システムとして、電子カルテ、オーダリング、レセプト電算処理システムが挙げられていますが、攻撃者から見れば、これらが止まれば医療機関は大きなプレッシャーを受けます。だからこそ、制度としても、単なる導入状況ではなく、継続性と復旧性に踏み込んだ要件が重視されているのです。
攻撃者の目線で見ると、医療機関のどこが狙われやすいのか
医療機関の担当者がまず理解すべきなのは、攻撃者は「病院だから狙う」のではなく、止めやすく、交渉しやすく、復旧しにくい相手だから狙うということです。診療を止めたくない、個人情報を多く扱う、24時間止めにくい、委託先や機器が多く構成が複雑、といった特徴は、攻撃者にとって魅力的に映ります。これは制度資料に直接書かれている話ではありませんが、改定がバックアップ、オフライン保管、BCPまで要件化していること自体が、医療機関が「止まると困る組織」である前提に立っていると読むことができます。
実務上、特に狙われやすいのは次のようなポイントです。
ひとつ目は、責任者が曖昧な組織です。誰が判断するのか分からない医療機関は、平時はなんとか回っていても、有事になると意思決定が止まります。だから制度では、専任の医療情報システム安全管理責任者の配置が重視されています。責任者がいるだけでなく、権限と役割が明確であることが重要です。
ふたつ目は、バックアップがあるつもりで、実は復旧できない構成です。厚労省の疑義解釈では、バックアップは複数方式で確保し、一部をネットワークから切り離したオフラインで保管することが求められています。これは、オンライン接続されたバックアップだけでは、侵害時に同時に被害を受けるおそれが高いためです。攻撃者は、暗号化の前にバックアップ領域や管理権限を調べることが多く、ここが甘いと復旧の余地が一気に狭まります。
三つ目は、委託先や接続先を含めた管理が弱いことです。医療機関のシステムは、自院だけで完結しません。電子カルテベンダー、保守業者、画像システム、地域連携、クラウド、外部保存など、多くの事業者が関与します。安全管理ガイドライン第6.1版は、医療情報システムの外部保存や統制、リスク管理を含めて整理しており、院内だけ守っていればよい設計にはなっていません。攻撃者も、最も侵入しやすい周辺から入ることを考えます。
四つ目は、BCPが文書だけで終わっていることです。制度上、業務継続計画の策定と職員への周知が求められていますが、紙で作って棚に置いただけでは意味がありません。実際に止まったら何を優先して復旧するのか、紙運用に切り替えるのか、検査や処方の流れをどう簡略化するのか、誰が外部に連絡するのかまで決めていなければ、現場は混乱します。攻撃者の立場から見ると、計画が形骸化している組織は非常に狙いやすい相手です。
医療機関が実務で最初に重視すべきこと
では、現場では何から着手すべきなのでしょうか。制度対応だけを目的にすると、チェックリストを埋める作業になりがちです。しかし、セキュリティ専門家の視点で見ると、最初に重視すべきなのは製品の追加導入ではなく、責任体制と復旧体制の明確化です。厚生労働省の安全管理ガイドラインは、技術対策だけでなく、統制、リスク評価、認証・認可、外部保存など、組織的管理を前提にしています。つまり、最初に問われるのは「誰が何を決めるのか」「どの情報がどこにあるのか」「止まったらどうするのか」です。
第一に、医療情報システム安全管理責任者の役割を具体化することが必要です。名前だけ決めても意味はありません。平時に何を把握し、どの委託先とどう連携し、インシデント発生時に誰へ報告し、復旧判断をどう行うのかまで整理しておく必要があります。専任要件の対象施設ではなおさらですが、そうでない施設でも、責任者不在のままでは安全管理は成立しません。
第二に、バックアップを「保存しているか」ではなく「戻せるか」で確認することが重要です。疑義解釈では、HDDとRDX、クラウドとNASのような複数方式が例示されていますが、形式だけ合わせても不十分です。実際には、どのデータを何世代保持し、どれくらいの時間で復旧できるのか、暗号化や破損時に整合性が保てるのかを確認しなければなりません。オフライン保管も、単に別の場所に置いてあるだけでなく、ネットワークから切り離されていることが重要です。
第三に、診療継続に必要なシステムの優先順位を決めることです。厚労省は非常時に備えるべき医療情報システムとして電子カルテ、オーダリング、レセプト電算処理システムを挙げていますが、実際の現場では、画像、検査、看護記録、部門システムなども影響します。全てを同時に守ろうとすると抽象論になります。まずは「止まると診療に直結するもの」「後回しでも耐えられるもの」を分けることが必要です。
第四に、院内研修を一度の説明会で終わらせないことです。制度上は年1回程度の研修が求められていますが、攻撃者は人の油断や思い込みを利用します。外部メール、リモート接続、USB媒体、委託先対応、緊急時の連絡など、職種ごとに起こりやすい事故は異なります。研修は制度対応のためではなく、インシデント時に現場が迷わないようにするために実施すべきです。
制度対応でありがちな誤解
ここで、医療機関でよく起こる誤解にも触れておきます。
ひとつは、ベンダーに任せているから大丈夫という考え方です。確かに、電子カルテやネットワークの保守は委託先が担うことが多いですが、制度上もガイドライン上も、最終的な安全管理責任は医療機関側にあります。外部事業者は重要なパートナーですが、責任そのものを外に移せるわけではありません。
もうひとつは、ウイルス対策ソフトを入れているから十分という考え方です。今回の改定が重視しているのは、単一の製品ではなく、責任体制、バックアップ、オフライン保管、BCP、情報共有基盤との安全な接続まで含めた全体管理です。特定の製品を導入しただけでは、加算対応としても実運用としても不十分です。
さらに、BCPを作成したから終わりという認識も危険です。BCPは、現場が理解し、定期的に見直し、訓練して初めて意味を持ちます。改定資料でも職員への周知が要件になっており、単なる文書作成では足りません。
こうした課題を、自院だけで整理するのが難しい理由
ここまで読んでいただくと、多くの医療機関で「やるべきことは分かるが、どこから手をつければよいか分からない」と感じるかもしれません。それは自然なことです。今回の改定で求められているのは、単なる機器導入や届出作業ではなく、責任体制、運用、文書、教育、バックアップ設計、委託先管理、BCPといった複数の要素をつなげて整えることだからです。
しかも、院内だけで検討すると、どうしても「今の運用を前提に、少し足す」発想になりがちです。しかし攻撃者は、現場が見慣れてしまっている“当たり前”の穴を突いてきます。共有アカウント、保守用の例外設定、常時接続バックアップ、連絡体制の属人化などは、その典型です。だからこそ、制度の知識だけでなく、攻撃者がどこを嫌がり、どこを好むかという視点を持った外部支援が有効になります。
当社がご支援できること
当社では、医療機関向けの情報セキュリティ支援として、今回の電子的診療情報連携体制整備加算を見据えた体制整備のご相談に対応しています。
具体的には、現在の運用状況の確認、医療情報システム安全管理責任者の役割整理、院内規程や手順書の整備、バックアップ構成の確認、オフライン保管の実効性確認、BCPの策定・見直し、職員向け研修、机上訓練まで、制度対応と実務対応の両面から支援します。
当社の支援方針は、製品だけに頼るものではありません。攻撃者の目線で「どこから侵入されやすいか」「どこが止まると現場が困るか」「何があると復旧が遅れるか」を見ながら、医療機関ごとの現実に合わせて、無理のない改善策を一緒に整理します。
制度上の要件を満たすことはもちろん大切です。ただし、それ以上に大切なのは、有事のときに本当に機能する体制を作ることだと考えています。
このような医療機関様はご相談ください
- 電子的診療情報連携体制整備加算の内容は把握したが、自院で何が不足しているか分からない
- 医療情報システム安全管理責任者をどう位置付ければよいか悩んでいる
- バックアップやオフライン保管が制度上・実務上十分か確認したい
- BCPはあるが、サイバーインシデントを前提に見直せていない
- ベンダー任せになっている部分が多く、院内としてどこまで把握すべきか整理したい
- 制度対応だけでなく、実際に攻撃を受けたときに困らない体制へ見直したい
お問い合わせのご案内
電子的診療情報連携体制整備加算への対応は、単なる届出の問題ではありません。
診療を支えるシステムを、安全に使い続けられる体制を整えることが本質です。
「まず何から確認すべきか知りたい」
「自院の状況でどこが弱いのか整理したい」
「制度対応と実務対応を合わせて相談したい」
そのような場合は、ぜひ一度ご相談ください。
当社では、医療機関の現状に合わせて、制度要件の確認から実務面の改善提案まで支援しています。
まとめ
2026年度診療報酬改定の電子的診療情報連携体制整備加算は、医療DXを進める医療機関に対して、単なる電子化ではなく、安全管理と継続運用の体制整備を求める内容になっています。特にセキュリティの観点では、安全管理ガイドラインへの対応、責任者の明確化、複数方式のバックアップ、オフライン保管、BCPと周知が重要です。
攻撃者の目線で見れば、狙われやすいのは「高価な製品が入っていない施設」ではなく、責任者が曖昧で、運用が属人的で、バックアップが弱く、非常時の判断が遅れる施設です。だからこそ、今回の改定は単なる加算の話ではなく、自院の体制を見直す良いきっかけになります。
制度対応をきっかけに、守るべき情報、止めてはいけない業務、判断すべき人、戻せるバックアップ、使えるBCPを改めて見直してみてはいかがでしょうか。そうした積み重ねが、結果として最も現実的で、最も強いセキュリティ対策につながります。