医療情報システム安全管理ガイドライン第7.0版とは?第6.2版からの主な変更点を医療機関向けに解説

2026年6月末、厚生労働省より「医療情報システムの安全管理に関するガイドライン 第7.0版」が公表されました。

医療情報システムの安全管理に関するガイドラインは、電子カルテ、レセコン、部門システム、画像管理システム、オンライン資格確認、予約システム、クラウドサービスなど、医療情報を扱うシステムを安全に運用するための基本的な考え方を示したものです。

今回の第7.0版では、これまでの第6.2版までの内容と比べて、サイバー攻撃への対応クラウド利用外部委託先との責任分界パスワード管理多要素認証などに関する記載が強化されています。

特に重要なのは、単なるシステム部門向けの技術文書ではなく、医療機関の経営層、事務長、システム担当者、委託先ベンダーが一体となって確認すべき内容になっている点です。

厚生労働省の公式ページでは、第7.0版として「概説編」「経営管理編」「企画管理編」「システム運用編」に加えて、新たに「保守委託機関編」が掲載されています。あわせて、医療機関・薬局向けのサイバーセキュリティ対策チェックリストも令和8年6月版として整理されています。

https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html

 

第7.0版で何が変わったのか

今回の改定で、医療機関が特に押さえておくべきポイントは次の5つです。

1つ目は、「保守委託機関編」が新設されたことです。
2つ目は、委託先やクラウド事業者を含めた責任分界の確認がより重視されたことです。
3つ目は、パスワードの考え方が見直され、定期変更よりも使い回し防止やアカウントロックが重視されたことです。
4つ目は、多要素認証の対象がより具体化されたことです。
5つ目は、サプライチェーンリスクやクラウド利用を前提にした安全管理が強化されたことです。

第6.2版までのガイドラインでも、外部委託、クラウドサービス、認証管理、サイバー攻撃対策については記載されていました。しかし第7.0版では、近年の医療機関を狙ったサイバー攻撃の継続、クラウド型電子カルテの普及、セキュリティ人材不足といった現実を踏まえ、より実務に近い内容へ整理されています。

厚生労働省の改定資料でも、第7.0版では「保守委託機関編の追加」「安全基準等策定指針等への対応」「クラウドネイティブ型電子カルテの推進」「パスワード要件の変更」「二要素認証の対象明確化」などが主な改定内容として示されています。

変更点1:保守委託機関編が新設された

今回の改定で最も大きな変更点のひとつが、「保守委託機関編」の新設です。

これは、特に小規模医療機関やクリニックなど、専任の情報システム担当者がいない医療機関にとって重要な内容です。

多くの医療機関では、電子カルテやレセコン、院内サーバ、ネットワーク機器、セキュリティ機器の保守を外部業者に委託しています。実際には、院内で専門的なサーバ管理やセキュリティアップデートを行うことが難しく、ベンダーや保守会社に頼っているケースが少なくありません。

第7.0版では、このような実態を踏まえ、すべてのサーバにおけるセキュリティアップデートを外部委託している医療機関については、「保守委託機関編」を遵守することで、その他の編の項目も遵守できているものとみなす考え方が示されています。ここでいうサーバには、サーバ機能を果たすPC端末も含まれるとされています。

つまり、医療機関側に求められるのは、難しい技術をすべて自前で実施することではありません。

重要なのは、どのシステムを、どの事業者に、どこまで任せているのかを把握し、契約やSLA、保守範囲を明確にしておくことです。

変更点2:委託先・ベンダーとの責任分界がより重要に

第7.0版では、医療機関とシステム事業者の役割分担がこれまで以上に重視されています。

医療機関では、「電子カルテはベンダーに任せている」「サーバは保守会社が見ている」「ネットワークは別の業者が管理している」という状況がよくあります。しかし、複数の業者が関与している場合、責任範囲が曖昧になりやすいという問題があります。

例えば、次のような点です。

  • OSやソフトウェアのアップデートは誰が実施するのか
  • セキュリティパッチの適用判断は誰が行うのか
  • VPN機器やファイアウォールの設定確認は誰の責任か
  • 障害発生時やランサムウェア感染時の初動対応は誰が行うのか
  • バックアップの取得、復旧テスト、保管管理は誰が確認するのか

第7.0版では、NCOの安全基準等策定指針や、経済産業省・総務省の2省ガイドライン改定を踏まえ、サプライチェーンリスク、医療機関と事業者の役割分担、医療機関とのリスクコミュニケーションなどが追記されています。

ここで大切なのは、「任せている」ことと「責任が明確になっている」ことは違うという点です。

医療機関としては、契約書、保守契約、SLA、仕様書、運用手順書などを確認し、自院と委託先の役割分担を文書で整理しておく必要があります。

変更点3:クラウドサービスの利用を前提とした考え方へ

第7.0版では、クラウドサービスの利用に関する記載も強化されています。

これまでは、医療情報システムといえば院内にサーバを置き、電子カルテや部門システムを院内ネットワークで利用する形が一般的でした。しかし近年では、クラウド型電子カルテ、クラウドバックアップ、予約システム、問診システム、オンライン診療、検査連携サービスなど、クラウドサービスを利用する場面が増えています。

厚生労働省の改定資料でも、クラウドネイティブ型電子カルテの導入推進を背景に、システム導入や運用におけるセキュリティ対応を可能な限り事業者に委託するため、クラウドサービスの積極的な活用を推進する旨が追記されています。

ただし、これは「クラウドなら安全」という意味ではありません。

クラウドを利用する場合でも、医療機関側には次のような確認が求められます。

  • 医療情報がどこに保管されるのか
  • 障害時にどのような対応が行われるのか
  • バックアップや復旧体制はどうなっているのか
  • アカウント管理や多要素認証に対応しているか
  • 委託先や再委託先の管理体制はどうなっているか
  • サービス終了時にデータを返却・削除できるか

クラウド化によって院内の負担を減らせる可能性はありますが、その分、契約内容やサービス仕様の確認が重要になります。

変更点4:パスワードの定期変更よりも「使い回し禁止」へ

第7.0版では、パスワード管理に関する考え方も見直されています。

これまで多くの組織では、「パスワードは定期的に変更するもの」という運用が行われてきました。しかし、短期間で何度も変更を求めると、利用者が覚えやすい単純なパスワードを使ったり、過去のパスワードを少しだけ変えて使ったりする原因になります。

第7.0版では、単純なパスワードやパスワードの使い回しによるサイバー攻撃被害を踏まえ、パスワードの使い回し禁止、アカウントロックの導入が追記されました。一方で、セキュリティ強化につながらないとされる「定期的な変更」の要件は削除されています。

医療機関で特に注意したいのは、複数のシステムで同じID・同じパスワードを使っているケースです。

電子カルテ、レセコン、NAS、VPN、リモート保守、検査システム、予約システムなどで同じパスワードを使っていると、1つの認証情報が漏えいしただけで、複数のシステムに侵入される危険があります。

今後は、「定期的に変えているから大丈夫」ではなく、次のような運用が重要になります。

  • 他システムとのパスワード使い回しを禁止する
  • 推測されやすいパスワードを禁止する
  • ログイン失敗が続いた場合はアカウントをロックする
  • 退職者・異動者のアカウントを速やかに停止する
  • 可能なシステムから多要素認証を導入する

変更点5:多要素認証の対象が具体化された

第7.0版では、多要素認証の対象も明確化されました。

これまでのガイドラインでは、多要素認証の必要性は示されていたものの、どのシステムやどのログインに対して対応すべきかが分かりにくい部分がありました。

今回の改定では、医療情報システムのうち、クライアント端末およびサーバについて二要素認証に対応することが明確化されています。また、令和9年4月1日時点で対応が困難な医療機関については、次期システム改修での対応を許容する緩和措置も示されています。

医療機関の現場では、すべてのシステムを一度に多要素認証へ切り替えることは難しい場合があります。

そのため、まずはリスクの高いところから優先順位をつけて確認することが現実的です。

特に優先度が高いのは、次のようなものです。

  • VPN接続
  • リモート保守用アカウント
  • サーバ管理者アカウント
  • 電子カルテや基幹システムの管理者アカウント
  • クラウドサービスの管理画面
  • 外部からアクセスできるシステム

攻撃者は、一般利用者のアカウントだけでなく、管理者アカウントや保守用アカウントを狙います。多要素認証は、万が一パスワードが漏えいした場合でも、不正ログインを防ぐための重要な対策です。

変更点6:医療機器の多要素認証などは今後の課題に

一方で、第7.0版ですべての論点が整理されたわけではありません。

厚生労働省の資料では、医療機器の二要素認証や、国内法の適用・執行に関する規制については、7.0版改定後も継続して検討し、可能な限り速やかに7.1版への改定を目指すとされています。

医療機器については、一般的なPCやサーバとは異なり、メーカー仕様、薬機法、保守契約、医療安全上の制約などが関係します。そのため、単純に「すべての機器に多要素認証を入れる」とはいかない場合があります。

医療機関としては、医療機器そのものへの対応だけでなく、医療機器が接続されているネットワーク、保守用の接続経路、メーカー保守時の手順を確認することが重要です。

チェックリストも確認が必要

第7.0版の公表にあわせて、医療機関・薬局向けのサイバーセキュリティ対策チェックリストも整理されています。

厚生労働省は、ガイドラインを参照したうえで、医療機関および薬局が優先的に取り組むべき事項をチェックリストとしてまとめています。令和7年度版までは医療機関用と薬局用で様式が分かれていましたが、令和8年6月版では「医療機関・薬局におけるサイバーセキュリティ対策チェックリスト」として統合されています。

ガイドライン本文は分量が多く、すべてをすぐに読み込むのは簡単ではありません。

そのため、まずはチェックリストを使って、自院の現状を確認することをおすすめします。

医療機関がまず確認すべきこと

第7.0版に対応するために、医療機関がまず確認すべきことは、次の5つです。

1.自院のシステム一覧を整理する

まず、院内で利用している医療情報システムを一覧化します。

電子カルテ、レセコン、PACS、検査システム、予約システム、問診システム、オンライン資格確認、NAS、バックアップ装置、VPN機器、無線LAN機器などを整理します。

2.保守契約と責任分界を確認する

各システムについて、誰が保守しているのか、どこまで委託しているのかを確認します。

特に、サーバのアップデート、ウイルス対策、バックアップ、障害時対応、リモート保守、セキュリティパッチ適用の責任範囲は重要です。

3.パスワードとアカウント管理を見直す

同じパスワードの使い回しがないか、退職者や異動者のアカウントが残っていないか、管理者権限が必要以上に付与されていないかを確認します。

特に、管理者アカウントや保守用アカウントは優先的に確認すべきです。

4.多要素認証の導入状況を確認する

すべてのシステムで一度に対応できない場合でも、VPN、クラウドサービス、サーバ管理、リモート保守など、外部からアクセスできる経路を優先して確認します。

5.サイバー攻撃時の初動対応を確認する

ランサムウェアやマルウェア感染が発生した場合、誰が判断し、誰に連絡し、どのシステムを止め、どのように復旧するのかを整理しておく必要があります。

BCPやインシデント対応手順がある場合でも、実際に使える内容になっているかを確認することが重要です。

第7.0版対応は「書類をそろえること」が目的ではない

医療情報システムの安全管理ガイドラインというと、どうしても「規程を作る」「チェックリストを埋める」「監査に備える」といった書類対応をイメージしがちです。

もちろん、文書化は重要です。

しかし本来の目的は、医療情報を守り、診療を止めないことです。

近年のサイバー攻撃では、電子カルテが使えない、検査結果が見られない、会計ができない、予約情報が確認できないといった形で、実際の診療継続に大きな影響が出るケースがあります。

そのため、第7.0版への対応では、単にガイドラインを読んで終わりにするのではなく、自院のシステム構成、委託先、アカウント管理、バックアップ、初動対応を現実に即して確認することが重要です。

まとめ

医療情報システムの安全管理に関するガイドライン第7.0版は、医療機関に対して新しい負担を一方的に増やすものではありません。

むしろ、セキュリティ人材が不足している医療機関でも、外部事業者やクラウドサービスを適切に活用しながら、安全管理を進めるための考え方が整理されたものといえます。

一方で、「ベンダーに任せているから大丈夫」という考え方では不十分です。

これからの医療機関には、委託先との責任分界を明確にし、パスワードや多要素認証、VPN、バックアップ、BCPなどを現実的に確認していくことが求められます。

第7.0版対応で最初に行うべきことは、大規模なシステム更新ではありません。

まずは、自院の現状を把握し、どこにリスクがあり、どこを委託先と確認すべきかを整理することです。

医療機関の情報セキュリティ対策は、難しい専門用語を理解することが目的ではありません。患者情報を守り、診療を止めないために、日々の運用を少しずつ改善していくことが重要です。

医療機関向け情報セキュリティ支援について

弊社では、医療機関向けに、医療情報システム安全管理ガイドラインへの対応、サイバーセキュリティ対策チェックリストの確認、委託先との責任分界の整理、BCP策定、職員研修、インシデント対応体制の整備などをご支援しています。

「第7.0版に対応したいが、何から確認すればよいか分からない」
「ベンダー任せになっている範囲を整理したい」
「チェックリストやBCPを実務に合う形で整備したい」

このようなお悩みがありましたら、お気軽にご相談ください。