OPTiM お役立ち情報

医療情報システムの安全管理に関するガイドライン第7.0版の変更点を解説|病院が何をすべきか

本記事は2026年6月29日に正式発出された医療情報システムの安全管理に関するガイドライン第7.0版に基づく解説です。

2026年6月、「医療情報システムの安全管理に関するガイドライン第7.0版」が示されました。今回は、二要素認証の対象の明確化や保守委託機関編の新設など、病院の実務に直結する見直しが含まれます。本記事では、変更内容を整理した上で、病院が具体的に何をすべきかまで解説します。なお、一部は数年内に遵守事項とされるため、計画的な対応が必要です。

✔ この記事で分かること

  • ガイドライン改定で何が変わるのか
  • その変更で自院にどのようなタスク・負担が発生するのか
  • 対応の負担をどう抑えるか(OPTiM AI ホスピタルという選択肢)

1. 安全管理ガイドライン第7.0版とは

「医療情報システムの安全管理に関するガイドライン」(通称「安全管理ガイドライン」)は、医療機関などが個人情報保護法やe-文書法などに対応しながら医療情報を安全に管理するための、厚生労働省による指針です。法令そのものではありませんが、医療機関が情報システムを安全に運用する上での実務基準として広く参照されています。

いつ公開され、いつから適用されるのか

安全管理ガイドライン第7.0版は、2026年5月の厚生労働省 第32回 健康・医療・介護情報利活用ワーキンググループで第7.0版案として示されました。その後、寄せられた意見を反映し、2026年6月29日(令和8年6月29日)に第7.0版として正式に発出されています。(出典1)

結論:今回変わる主なポイント

表1:安全管理ガイドライン第7.0版の主な変更点

項目 変わること
二要素認証 対象がクライアント端末・サーバーであることを明確化
パスワード 使い回し禁止・アカウントロック導入/定期変更要件は廃止
クラウド クラウドネイティブ型電子カルテシステムの活用推進を方針として明記
外部委託 サプライチェーンリスクなどへの対応を追記
構成 保守委託機関編を新設し、4編から5編へ

出典3、p.4-p.7を基にオプティムが作成

2. なぜ安全管理ガイドラインは第7.0版へ改定されるのか

背景には、医療を狙うサイバー攻撃の継続に加え、関連する複数の制度が相次いで改定され、それらとの整合を取る必要が生じたことがあります。順に見ていきます。

政府指針への対応

国家サイバー統括室(NCO:National Cybersecurity Office)は、重要インフラのサイバーセキュリティに関する「安全基準等策定指針」を令和5年7月に改定しました。これは、各分野のセキュリティガイドラインに盛り込むべき項目を示すもので、サイバー対処能力強化法の成立など、国全体でサイバーセキュリティを強化する流れを受けたものです。安全管理ガイドライン第7.0版では、この指針との影響を確認し、関連法令として「サイバーセキュリティ基本法」を追加するなど、サプライチェーンリスクに関する記述が追記されました。(出典3、p.2-p.5を株式会社オプティムが要約)

2省ガイドラインとのズレの解消

総務省・経済産業省が定める2省ガイドラインは、令和7年3月に改定されました。ここで押さえたいのは、安全管理ガイドラインと2省ガイドラインでは対象が異なる点です。安全管理ガイドラインが「医療機関」向けであるのに対し、2省ガイドラインは「事業者」向けの指針です。事業者側のルールが改定された結果、医療機関と事業者の役割分担やリスクコミュニケーションについて、医療機関側のガイドラインでも足並みをそろえる必要が生じました。安全管理ガイドライン第7.0版は、この整合を取るための追記を行っています。(出典3、p.2-p.5をオプティムが要約)

クラウド導入の増加と人材不足

技術的・社会的な動向として、クラウドサービスを導入する医療機関が増える一方、セキュリティに対応できる専門人材の不足が深刻になっています。電子カルテ自体の普及は進んでおり、厚生労働省による令和5年の医療施設調査では一般病院65.6%、一般診療所55.0%と、いずれも年々上昇しています。導入が進むほど、運用やセキュリティ対応を担う人材の不足が課題として浮かび上がります。

電子カルテシステム等の普及状況の推移

出典4(最終アクセス日:2026年7月7日)

2030年に向けた電子カルテのクラウド化

また、政府は「遅くとも2030年には概ね全ての医療機関において必要な患者の医療情報を共有するための電子カルテの導入を目指す」としています(医療DXの推進に関する工程表、2023年)。カスタマイズなどで高コスト構造になっている現行のオンプレミス型(自院内のサーバーで運用する方式)から、クラウドネイティブ型電子カルテシステム(クラウド環境での利用を前提に設計された電子カルテ)への移行を進める方針で、2027年度以降のシステム更改では標準規格に対応したクラウドベースの導入が推奨されます。

「システム導入や運用におけるセキュリティ対応には高い専門性が求められるため、これを可能な限り事業者に委託できるよう、クラウドサービスの積極的な活用を推進する。」

出典3、p.5を基にオプティムが抜粋

安全管理ガイドライン第7.0版がクラウドネイティブ型電子カルテシステムの活用推進を明記したのは、こうした政府の医療DXの方向性と歩調を合わせたものといえます。

✔ この章のポイント

  • 改定の背景は、サイバー攻撃の継続と、政府指針・2省ガイドラインなど制度との整合
  • クラウド化の進展と専門人材の不足を背景とした、保守委託機関編の新設とクラウド推進
  • 2030年に向けた電子カルテのクラウド化方針との整合

3. 何が変わるのか:新たな対応と、ルールの実効化

変更点は、新たに対応が必要になるものと、これまでのルールが実効性の観点から見直されるものに分けると整理しやすくなります。見直しというと一見「緩和」に見えますが、単に楽になったのではなく、セキュリティ効果の低いルールをやめて、より実効的な対策に置き換える趣旨である点に注意が必要です。

表2:変更点の性質による整理

項目 変更点 性質 病院への対応の方向性
二要素認証 対象(端末・サーバー)の明確化 新たな対応が必要 対象の棚卸しと対応計画
パスワード 使い回し禁止・アカウントロック 新たな対応が必要 ポリシーの見直し
定期変更要件 定期変更要件の廃止 ルールの実効化 形式的なルールの廃止
クラウド 活用推進の方針明記 方針の明記(義務ではない) 更改・新規導入時の選択肢
外部委託 サプライチェーンリスク対応の追記 新たな対応が必要 委託範囲・責任分界の確認
構成(保守委託機関編) 4編から5編に再編 構成の変更 自院が該当する編の確認

出典3、p.4-p.7を基にオプティムが作成

二要素認証は「対象」が明確になった

安全管理ガイドライン第7.0版では、二要素認証の対象がクライアント端末(利用者が使う端末)とサーバーであることが明確化されました。これまで対応すべき範囲が読み取りにくかった部分が整理され、クライアント端末だけでなく、サーバーへの管理者ログインも二要素認証の対象に含まれることがはっきりしました。令和9年(2027年)4月1日から遵守事項とされ、新たな対応が必要となる代表的な項目です。まずは対象となる端末・サーバーを棚卸しすることが、対応の出発点になります(二要素認証の仕組みは第5章で詳しく解説します)。

パスワードはむしろ厳格化されている

パスワード関連の見直しは、「単純なパスワードやその使い回しによる被害が発生している」という課題への対応です。安全管理ガイドライン第7.0版では、「使い回しの禁止」と「アカウントロック」の導入が新たに盛り込まれました。つまり、パスワードの取り扱いは全体として強化される方向にあります。一方で、パスワードの「定期的な変更」を求める要件は削除されました。これは、定期的な変更がセキュリティ面の強化につながらないとされたためです。

変更を頻繁に強いると、かえって覚えやすい単純なパスワードや、わずかに変えただけの使い回しを招きやすいことが知られています。形骸化しやすいルールをやめる是正であり、結果として運用負担は減りますが、目的は負担の軽減ではなく、対策の実効性を高めることにあります。運用面では、パスワードポリシーの設定と見直しが具体的な対応になります。

クラウド活用の推進が方針として明記された

安全管理ガイドライン第7.0版では、クラウドネイティブ型電子カルテシステムの活用推進が方針として明記されました。高い専門性が求められるセキュリティ運用を、できる限り事業者に委ねられるようにする狙いがあり、第2章で触れた人材不足や2030年に向けた医療DXの方向性と一体のものです。クラウドの利用そのものを新たに義務づけるものではありませんが、システムの更改や新規導入を検討する際の有力な選択肢として位置づけられました。これらを検討するタイミングで、クラウド型も選択肢として比較しておくとよいでしょう。

外部委託・サプライチェーンリスクへの対応が加わった

NCOの示す政府指針や2省ガイドラインの改定を受け、外部委託先を含めたサプライチェーンリスクへの対応に関する記述が追記されました。まずは自院とベンダー・委託先の役割分担(責任分界)をあらためて確認することが、対応の起点になります。

保守委託機関編が新設された

安全管理ガイドライン第6.0版は、概説編・経営管理編・企画管理編・システム運用編の4編構成でした。第7.0版では、セキュリティ人材が不足しがちな小規模医療機関を主に想定した保守委託機関編が加わり、5編構成になることが示されています。

表3:安全管理ガイドライン 第6.0版と第7.0版の構成比較

安全管理ガイドライン第6.0版 安全管理ガイドライン第7.0版
概説編 あり あり
経営管理編 あり あり
企画管理編 あり あり
システム運用編 あり あり
保守委託機関編 なし 新設

出典3、p.4を基にオプティムが作成

自院が保有する全てのサーバーのセキュリティアップデートを外部に委託している(クラウドサービスの利用を含む)医療機関、つまり自院ではサーバー保守を行わない医療機関であれば、概説編および保守委託機関編に対応することで、安全管理ガイドライン第7.0版を遵守しているものとみなす、という考え方が示されています。自院がサーバー保守を自ら担うのか、全面的に委託するのかによって、適用される編が変わります。まずはこの切り分けを確認し、委託する場合は委託先との責任分界を整理することが必要です。

✔ この章のポイント

  • 対象(クライアント端末+サーバー)が明確化された二要素認証は、新たな対応が必要
  • 使い回し禁止などで強化されるパスワード(定期変更の廃止は緩和ではなく実効性に基づく見直し)
  • 方針として明記されたクラウド活用と、責任分界の確認が起点となる外部委託
  • 4編から5編への再編(保守委託機関編の新設)

4. 病院は何をすべきか

変わった事実を知るだけでは対応になりません。安全管理ガイドライン第6.0版からのギャップ、それが現場に与える影響、そして取るべきアクションの順で整理します。

安全管理ガイドライン第6.0版からのギャップと影響

構成面では、保守委託機関編が加わり5編構成になった点が大きな変化です(表1を参照)。運用面では、認証やパスワードの見直しが多くの医療機関の日常業務に影響します。まずは自院がどの変更の影響を受けるかを把握しましょう。

取るべきアクション

手当たり次第ではなく、自院の立ち位置を確かめてから個別対応へ進むと、無駄なく対応できます。次の順序で進めます。

  1. 【立ち位置の判定】該当する編の確認:自院がサーバー保守を自前で行うのか、全面的に委託している(クラウドサービスの利用を含む)のかを判定する。全面委託であれば、保守委託機関編を満たすことで他の編の該当項目も適合とみなす考え方が示されている(第3章の表3を参照)。ここが対応範囲を左右するため、最初に確定させる。自前で全てのサーバー保守を担う場合は対象が広く、負担も大きくなりやすい。
  2. 【ベンダーへの確認】対応状況の確認:利用中のシステムがガイドライン改定に対応済みかを、電子カルテメーカー・クラウド/外部保存の受託事業者に確認する。あわせて自院と委託先の責任分界――障害時の連絡・復旧責任の所在、セキュリティアップデートの実施主体、再委託の有無――を切り分ける。契約・規約の読み解きは専門性が高く、情報システム担当の負担になりやすい。
  3. 【二要素認証】資産の棚卸し:クライアント端末に加え、サーバーの管理者ログインも対象となる前提で、保護すべき情報と端末・サーバーを棚卸しする。共有端末を入れ替わりで使う環境ではシステム起動時、利用者が個人端末を持つ環境では端末ログイン時に認証をかけるのが、運用上の一般的な考え方である(詳しくは第5章)。対象の洗い出しと個別設定は、数が多いほど手間がかかる。
  4. 【パスワード】ポリシーの設定:文字数や文字種の制限、典型的なパスワード(111111など)のブロックリスト化を定める。サイバーセキュリティ対策チェックリスト(※)では、英数字・記号を混在させた8文字以上を基本とし、二要素認証を導入しているか、13文字以上のパスワードを用いる場合は、定期的な変更を不要としている。
  5. 【クラウド】次期更改での比較検討:システムの更改・新規導入のタイミングで、クラウドネイティブ型電子カルテシステムを標準規格対応の選択肢として比較する。義務ではないため既存システムを直ちに移行する必要はないが、2030年に向けたクラウド化方針と2027年度以降のクラウド推奨をふまえると、次の更改が実質的な検討の分岐点になる。

二要素認証やクラウドの検討は、令和9年(2027年)4月1日時点で稼働するシステムを新規導入・更新する際に対応する建て付けです。即時の全面対応ではなく、次期システム改修・更改のタイミングで計画に組み込んでください。入退室管理が行われた区画に設置された端末など一定の条件下では、区画への入場時の認証とあわせて二要素以上が確保されていれば、二要素認証に相当する対応とみなし得ます。なお、これらは情報システム部門だけで完結せず、契約確認は事務・経営層、運用設計は現場との調整が必要になる点も、計画段階で見込んでおくと安全です。

✔ この章のポイント

  • まず「自院の立ち位置(自前保守か全面委託か)」の確定
  • 次に「ベンダーへの確認」と責任分界の整理
  • サーバー側も含めて計画する二要素認証
  • 負担が大きい自前対応に対し、製品・委託の活用も選択肢

※サイバーセキュリティ対策チェックリスト:厚生労働省が示す、病院への医療法の立入検査で確認される、医療機関のサイバーセキュリティ自己点検用の文書。

5. 二要素認証をもう少し詳しく(補足)

第3章・第4章で触れた二要素認証は、令和9年(2027年)4月1日から遵守事項とされ、新たな対応が必要となる代表的な項目です。対応を計画するには、まず仕組みを正しく押さえておくことが欠かせません。ここでは、認証の基本的な考え方と方式のバリエーションを補足として整理します。

二要素認証の基本的な考え方

二要素認証とは、性質の異なる2つの要素を組み合わせて本人確認を行う仕組みです。要素は大きく3種類に分けられ、このうち2種類を組み合わせることで、パスワードだけの認証より安全性を高められます。

表4:認証の3要素

要素 内容 具体例
知識情報 本人だけが知っている情報 パスワード、PINコード
所持情報 本人だけが持っている物 ICカード、認証アプリ、ワンタイムパスワード
生体情報 本人の身体的特徴 指紋、顔

表5:認証要素ごとの特徴

要素 メリット デメリット
知識情報 端末やセンサーが要らないので導入コストが低い。ユーザーになじみがあり直感的 盗み見られる。忘れてしまう
所持情報 物理的な物が必要になるので遠隔地からの攻撃に強い 紛失・盗難のおそれがある
生体情報 入力の手間がなく、忘れることがない 読み取り精度に個体差があり、環境の影響を受けやすい

認証要素によって異なる特徴を持つため、複数の種類を組み合わせることでより強固になります。

認証方式のバリエーション

二要素認証は、前述の3要素から異なる2種類を組み合わせて実現します。知識情報と所持情報、知識情報と生体情報といった組み合わせが該当します。逆に、パスワードとPINコードのように同じ「知識情報」を2つ重ねても、二要素にはならない点に注意が必要です(これは二段階認証にあたります)。

所持情報を使う方式にはワンタイムパスワードやICカード、認証アプリなどがあり、生体情報を使う方式には指紋認証や顔認証などがあります。導入のしやすさ・運用負担・なりすましへの強さは方式ごとに異なるため、自院の運用に合った組み合わせを検討します。

図1:二段階認証と二要素認証の違い

二段階認証と二要素認証の違い

✔ この章のポイント

  • 知識・所持・生体のうち、異なる2要素の組み合わせ
  • 同じ要素を2つ重ねても二要素にはならない点(二段階認証との違い)
  • 方式ごとに異なる導入しやすさ・運用負担・なりすまし耐性と、自院運用に合う組み合わせの選択

さいごに:対応の負担をどう抑えるか

ここまで見たように、安全管理ガイドライン第7.0版への対応は、二要素認証やパスワード運用の見直し、委託体制の整理など、専門的で負担の大きい作業を伴います。これらを自院だけで抱えると、人材やコストの面で負担が重くなりがちです。

もっとも、いま病院に求められているのは、この対応だけではありません。ガイドライン改定への対応が、ルールの変更に応じて必ず取るべき「守り」のアクションだとすれば、働き方改革の実現に向けた、生成AIによる効率化の導入は「攻め」の改善といえます。現場ではこの両方が同時に求められています。

守りと攻めは別々の課題に見えますが、導入する製品・サービスの選び方しだいで、まとめて前に進められます。ポイントは、ガイドラインに準拠していて安心して導入でき、導入実績があり、導入支援まで充実したサービスを選ぶこと。そうした製品を選べば、自院の負担を抑えながら、守りと攻めの双方を進められます。

ガイドライン準拠で導入でき、文書作成を効率化するOPTiM AI ホスピタル

OPTiM AI ホスピタルは、現行の安全管理ガイドライン第6.0版に準拠した、医療文書作成支援サービスです。電子カルテと連携し、看護サマリーや診療情報提供書などの作成を生成AIで支援します。オンプレミス型・クラウド型のいずれにも対応しています。

OPTiM AI ホスピタル

安全管理ガイドライン第7.0版で新たに求められる要件についても、ガイドラインの発行に合わせて各社が対応を進めており、OPTiM AI ホスピタルでも順次対応を進めています(二要素認証は、2027年4月1日の適用または2027年4月1日以降の次のバージョンアップまでに対応を予定)。

「OPTiM AI ホスピタル」に関するお問い合わせはこちら

お問い合わせ・資料ダウンロードの際は、当社プライバシーポリシーに同意の上ご利用ください。

出典

このブログの免責事項について

「OPTiM AI ホスピタル」に関するお問い合わせはこちら