令和7年度版 薬局におけるサイバーセキュリティ対策チェックリスト徹底解説:全項目「はい」を目指す薬局の義務と対応

サイバーセキュリティ

1. はじめに:薬局のサイバーセキュリティ、令和7年度の義務とは?

医療DXが加速する中、薬局におけるサイバーセキュリティ対策は喫緊の課題であり、もはや避けては通れません。特に、**令和7年度版「薬局におけるサイバーセキュリティ対策チェックリスト」**は、薬局運営に携わる全ての方にとって最も重要な文書の一つです。

令和5年度から始まったこのチェックリストは、今年で3年目を迎えます。令和7年度中には、すべての項目に「はい」と回答できるよう取り組むことが薬局に強く求められています。

本記事では、このチェックリストの全体像を解説するとともに、特に薬局担当者が混乱しがちな**「事業者確認用」の正しい理解**、そして**「薬局確認用」の各項目**について、情報処理安全確保支援士である私の視点から、薬局現場に即した対応策を具体的に解説していきます。

2. 2種類のチェックリスト:薬局確認用と事業者確認用

「薬局におけるサイバーセキュリティ対策チェックリスト」は、主に以下の2種類で構成されています。

  1. 薬局確認用: 薬局自身が取り組むべきセキュリティ対策をチェックするシートです。
  2. 事業者確認用: 薬局にシステムを提供している事業者(ベンダー)に確認を求めるシートです。

特に「事業者確認用」については、その取り扱いを巡って多くの誤解が生じがちです。

3. 「事業者確認用」はほぼ全ての薬局で提出が必須!

「事業者確認用」のチェックリストは、「事業者と契約していない薬局においては不要」とされています。この文言を見て「うちの薬局はシステムの購入契約しかないから関係ない」と判断してしまうケースがありますが、それは大きな誤解です。

3-1. 「事業者と契約していない」の真の意味

ここでいう「事業者と契約していない」とは、製品購入の売買契約のみで、そのシステムの運用、管理、保守に関する契約がない場合を指します。

つまり、以下のようなケースは「運用・保守に関する契約がない」には該当しません。

  • レセプトコンピュータの月額保守費用を支払っている
  • 電子薬歴システムのバージョンアップやサポート契約がある
  • オンライン請求に関するサービス契約がある
  • ネットワーク機器の保守契約がある

3-2. なぜほとんどの薬局で「事業者確認用」が必要なのか

現実的には、ほとんど全ての薬局で何らかのITシステム(レセプトコンピュータ、オンライン請求システム、電子薬歴など)が導入されており、それらの運用や保守に関する契約を締結していないということは考えられません

したがって、基本的にはほぼ全ての薬局で、導入しているシステム事業者に対して「事業者確認用」を送付し、自社の対策状況の確認を求める必要があると理解してください。

3-3. 事業者側の対応と薬局の確認フロー

最近では、システム事業者側もこの要求が来ることを認識しており、ユーザー向けのウェブサイトで「事業者確認用」の回答をアクセス可能にしている会社や、薬局が求める前に proactively 送付してくる事業者も増えています。

薬局としては、まずは導入している各システム事業者に対し、自ら能動的に「事業者確認用」を求め、確認するように働きかけることが必要です。

4. 「薬局確認用」の重要項目と対応のポイント

次に、薬局自身がチェックする「薬局確認用」の項目について、特に令和7年度版で新設・追記された項目を中心に、その内容と対応のポイントを解説します。

(※今回は各項目の概要と簡単な対応策に触れます。次回以降で各項目をさらに深掘りする予定です。)

4-1. 体制構築

  • 医療情報システム安全管理責任者を設置している。(1-①)
    • 対応ポイント: 薬局内に責任者を明確に定め、その役割を周知しましょう。セキュリティ対策の中心となる人物です。

4-2. 医療情報システムの管理・運用

  • サーバ、端末PC、ネットワーク機器の台帳管理を行っている。(2-①)
    • 対応ポイント: 導入しているIT機器の種類、設置場所、管理者などをリスト化し、常に最新の状態に保つことが基本中の基本です。
  • リモートメンテナンスを利用している機器の有無を事業者等に確認した。(2-②)
    • 対応ポイント: 事業者任せにせず、どの機器がリモートで保守されているか把握し、そのセキュリティ対策(接続元制限など)について確認しましょう。
  • 事業者からMDS/SDSを提出してもらう。(2-③)
    • 対応ポイント: 事業者からシステムのセキュリティ情報(MDS/SDS)を入手し、リスク評価に役立てましょう。これも事業者への能動的な働きかけが必要です。
  • 利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。※管理者権限対象者の明確化を行っている(2-④) ★
    • 対応ポイント: システム内で最も強い権限である管理者権限を使える人を明確にし、その操作が誰によって行われたか特定できるように管理しましょう。レセコンなどを誰でも管理者権限で操作できないようにする対策が求められます。
  • 退職者や使用していないアカウント等、不要なアカウントを削除または無効化している。(2-⑤) ★
    • 対応ポイント: 退職者のアカウントはもちろん、長期間使われていないアカウントも速やかに削除または無効化する仕組みを作りましょう。これは不正アクセスや情報漏洩を防ぐ上で非常に重要です。
  • セキュリティパッチを適用している。(2-⑥)
    • 対応ポイント: OSやアプリケーション、システムベンダーからの提供パッチなど、常に最新の状態に更新し、脆弱性を解消しましょう。
  • パスワードは英数字、記号が混在した8文字以上とし、定期的に変更している。※二要素認証、または13文字以上の場合は定期的な変更は不要(2-⑦) ☆
    • 対応ポイント: 新規項目です。推奨されるパスワード要件を満たすか、二要素認証の導入または13文字以上の複雑なパスワードを設定することで、定期的な変更は不要となります。薬局の運用に合わせた現実的な方法を選びましょう。筆者としては、入力の手間とセキュリティのバランスを考慮し、可能な範囲で13文字以上の複雑なパスワード設定を推奨します。
  • パスワードの使い回しを禁止している。(2-⑧) ☆
    • 対応ポイント: 新規項目です。システムごとに異なるパスワードを設定することを徹底しましょう。薬局システムだけでなく、グループウェアや経費精算システムなども含め、全アカウントで使い回しを禁止するのは容易ではありません。パスワードマネージャーの導入なども有効な対策となり得ます。
  • USBストレージ等の外部記録媒体や情報機器に対して接続を制限している。(2-⑨) ☆
    • 対応ポイント: 新規項目です。許可されていないUSBメモリや外部デバイスからの情報持ち出し・持ち込みを防ぐ対策が必要です。ポリシーを定め、従業員への周知と技術的な制限を検討しましょう。
  • 二要素認証を実装している。または令和9年度までに実装予定である。(2-⑩) ☆
    • 対応ポイント: 新規項目であり、令和9年度までの猶予期間があります。現時点では対応システムが少ない状況なので、まずは**「実装予定である」にチェック**を入れることになる薬局が多いでしょう。今後のシステムベンダーの対応状況に注目し、導入計画を立てることが重要です。
  • サーバのアクセスログを管理している。(2-⑪)
    • 対応ポイント: 不正アクセスの有無や、問題発生時の原因究明のために、サーバのアクセスログを適切に保管・管理しましょう。
  • 不要なソフトウェア及びサービスを停止している。(2-⑫)
    • 対応ポイント: サーバや端末PCのバックグラウンドで動作している不要なプログラムは、脆弱性となる可能性があります。定期的に見直し、停止しましょう。
  • ネットワーク機器の接続元制限を実施している。(2-⑬)
    • 対応ポイント: ネットワーク機器へのアクセスを許可されたIPアドレスや端末に限定し、不正なアクセスを防ぎましょう。

4-3. インシデント発生に備えた対応

  • インシデント発生時における組織内と外部関係機関への連絡体制図がある。(3-①)
    • 対応ポイント: 万が一のセキュリティインシデント発生時に、誰が、誰に、どのように連絡するかを明確にした体制図を作成し、周知しましょう。
  • 診療継続に必要な情報を検討し、バックアップと復旧手順を確認している。(3-②)
    • 対応ポイント: 最悪の事態に備え、患者データなどのバックアップを定期的に行い、システムが停止した場合の復旧手順を具体的に決めておくことが重要です。
  • サイバー攻撃を想定した事業継続計画(BCP)を策定している。(3-③)
    • 対応ポイント: サイバー攻撃によって業務が停止した場合の、事業継続計画(BCP)を策定し、いざという時に混乱なく対応できるように準備しましょう。

4-4. 規程類の整備

  • 上記1-3のすべての項目について、具体的な実施方法を運用管理規程等に定めている。(4-①) ☆
    • 対応ポイント: 新規項目であり、最も大変な項目の一つです。これまでに挙げた全ての対策について、誰が、いつ、何を、どのように行うのかを明文化し、規程として整備することが求められます。真面目に取り組むには相当な労力が必要ですが、今後はこういった規定のテンプレートなども公開できるよう、当ブログでもサポートしていきたいと考えています。

5. まとめ:薬局が目指す「はい」の未来

令和7年度版「薬局におけるサイバーセキュリティ対策チェックリスト」の全項目に「はい」と回答できるようになることは、単なる義務の履行に留まりません。それは、薬局が安全で質の高い医療を提供し続けるための基盤を強化し、患者さんからの信頼をより一層確かなものにすることに繋がります。

特に「事業者確認用」の誤解を解消し、能動的に事業者と連携すること。そして「薬局確認用」における管理者権限の明確化、不要アカウントの削除、パスワードポリシーの強化、二要素認証の計画、運用管理規程の整備といった新規・追記項目への対応が重要です。

今回は全体をざっくりと解説しました。次回以降の記事では、各項目についてさらに深く掘り下げ、薬局現場で実践できる具体的な対応策を、図解なども交えながら詳細に解説していきます。

コメント

タイトルとURLをコピーしました