薬局におけるサイバーセキュリティ対策！厚生労働省ガイドラインに準拠した対応

薬局業務のIT化が進む中、サイバー攻撃による被害が現実の脅威となりつつあります。

「薬局にサイバーセキュリティは必要？」
「サイバーセキュリティガイドラインって何？」
「サイバーセキュリティ対策は何をすればよい？」

このような疑問を抱く薬局経営者やスタッフの方に向けて、この記事では厚生労働省のガイドラインに基づいた対策の全体像を解説します。
薬局を取り巻く脅威の種類やリスク、実践的なチェックリスト活用法、スタッフ教育のポイントまで網羅していますので、ぜひ最後までご覧ください。

1.薬局を取り巻くサイバーセキュリティの現状と課題
- 薬局を標的とするサイバー脅威の種類
- 薬局特有のセキュリティリスク
2.厚生労働省の薬局向けサイバーセキュリティガイドラインの概要
- 医療機関・薬局向けセキュリティガイドラインの目的
- ガイドラインの主な要求事項と遵守すべきポイント
3.薬局で実施すべき基本的なサイバーセキュリティ対策
4.薬局向けサイバーセキュリティチェックリストを活用した具体的な対策
5.薬局スタッフに必要なサイバーセキュリティ教育
6.まとめ

1.薬局を取り巻くサイバーセキュリティの現状と課題

薬局では電子薬歴やレセプトコンピュータの導入が進む一方、情報のデジタル化にともない外部からの脅威も増加しつつあります。サイバーセキュリティ対策が不十分な場合、業務停止や個人情報漏洩といった深刻な事態に発展する恐れもあるでしょう。

ここでは、薬局を取り巻くサイバーリスクの全体像について、解説します。

薬局を標的とするサイバー脅威の種類

薬局を標的とするサイバー脅威は多様化しており、日々の業務に深刻な影響をおよぼすおそれがあります。対策を講じるには、脅威の種類と特徴を理解することが重要です。特に、患者情報を扱う薬局では、外部からの攻撃だけでなく内部不正にも注意が必要です。

以下に代表的な脅威をまとめます。

脅威の種類	内容
ランサムウェア	システムやデータを暗号化し、復旧のために金銭を要求
不正アクセス	弱いパスワードや設定ミスを突いてシステムに侵入し、情報を盗む
フィッシング	偽のメールやサイトで職員をだまし、ログイン情報を取得
内部不正	職員が意図的に情報を持ち出し、不正に利用

これらの脅威に対処するには、定期的なシステム更新やスタッフ教育、アクセス管理の徹底などが求められます。

薬局特有のセキュリティリスク

薬局特有のセキュリティリスクには、IT人材の不足や複数システムの運用、高度な個人情報の保有が挙げられます。これらの要因が複合的に絡み合い、サイバー攻撃のリスクを高めています。

以下に、主なリスクと内容についてまとめました。

リスク要因	内容
IT人材の不足	専門的な知識を持つ人材が限られており、セキュリティ対策の構築や運用が困難
複数システムの運用	レセプトコンピュータ・電子薬歴・オンライン資格確認など異なるシステムを管理する必要があり、セキュリティ管理が複雑
高度な個人情報の保有	患者さんの氏名・住所・処方内容など、機密性の高い情報を扱っており、情報漏洩時の影響が大きい

これらのリスクに対処するには、組織全体でセキュリティ対策を強化する必要があります。

2.厚生労働省の薬局向けサイバーセキュリティガイドラインの概要

薬局の業務に欠かせない電子薬歴やレセプトコンピュータなどの情報システムは、サイバー攻撃による被害にあう可能性が高まっています。安全な運用を維持するには、国の指針を正しく理解し、適切な対応をとることが重要です。

ここでは、厚生労働省が示す対策の基本について、詳しく見ていきましょう。

医療機関・薬局向けセキュリティガイドラインの目的

厚生労働省は、「医療情報システムの安全管理に関するガイドライン」を策定し、公開しています。医療機関や薬局がサイバーセキュリティ対策を強化し、医療情報の安全性と個人情報の保護を目的としています。このガイドラインは、オンライン資格確認の導入が原則義務化されたことや、サイバー攻撃の多様化・巧妙化を受けて、安全管理の実効性を高めるため令和5年5月に第6.0版へと改定されました。

薬局においてもこのガイドラインを参考にして、情報システムの安全管理体制を整備し、患者さんの個人情報を適切に保護することが求められます。

ガイドラインの主な要求事項と遵守すべきポイント

厚生労働省が策定した「薬局におけるサイバーセキュリティ対策チェックリスト」は、薬局が遵守すべきセキュリティ対策を明確に示しています。このチェックリストは、薬局が自らのセキュリティ体制を点検し、必要な改善をおこなうための実践的なツールとして活用されています。

以下に、主な要求事項と遵守すべきポイントをまとめましたので、参考にしてください。

体制構築
- 医療情報システム安全管理責任者の設置：薬局内に、情報システムの安全管理を担当する責任者を明確に配置している
医療情報システムの管理・運用
- 機器の台帳管理：サーバーや端末、ネットワーク機器などの情報を台帳で管理し、所在や状態を把握している
- サーバーや端末PCのアクセス管理：アクセス利用権限を設定し、不要なアカウント削除やアクセスログ管理を実施している
- ネットワーク機器の管理：セキュリティパッチを適用し、接続元制限を実施している
インシデント発生時の対応
- 連絡体制の整備：緊急時に迅速な対応ができるよう連絡体制図を作成し、関係者間で共有している
- バックアップの実施と復旧手順の確認：定期的なデータのバックアップをおこない、復旧手順を明確にしている
- 事業継続計画（BCP）の策定：サイバー攻撃などの緊急事態に備え、業務を継続するための計画を策定している

これらの対策を講じることで、薬局はサイバーセキュリティの強化を図り、患者情報の保護と業務の継続性確保が可能となります。

チェックリストを活用し、定期的な点検と改善をおこなうことが重要です。

3.薬局で実施すべき基本的なサイバーセキュリティ対策

薬局が安定した業務を維持するには、外部からのサイバー攻撃や内部の情報漏洩リスクに備えた対策が欠かせません。日常の運用体制を見直し、万が一の事態にも冷静に対応できる準備が重要です。

ここでは、薬局で実施すべき基本的なサイバーセキュリティ対策について、解説します。

サイバーセキュリティ対策責任者の設置

薬局におけるサイバーセキュリティ対策の強化には、責任者の設置が不可欠です。厚生労働省が提供する「薬局におけるサイバーセキュリティ対策チェックリスト」では、医療情報システムの安全管理責任者を設けるよう記載されています。
責任者は、情報セキュリティ方針の策定やスタッフの教育・訓練など、薬局全体のセキュリティ対策を統括します。明確な役割分担により、サイバー攻撃への迅速な対応と被害の最小化が可能となるでしょう。
特に、オンライン資格確認や電子処方箋の導入が進む中、患者情報の保護と業務の継続性を確保するためにも、責任者の設置は重要なステップです。

医療情報システムの管理・運用

薬局における医療情報システムの管理・運用では、安全性を確保するために複数の対策が必要です。まず、使用しているパソコンやサーバー、ネットワーク機器を台帳で管理し、所在や状態を把握しましょう。次に、使用していないアカウントを削除し、アクセスできる人を最小限に絞ることで、情報漏えいや不正利用のリスクを低減します。さらに、アクセス制限を設定し、必要な業務以外ではシステムに触れられないようにすることも重要です。

これらの対策を定期的に見直すことで、医療情報システムの安全な運用が維持できるでしょう。

インシデント発生時の対応

薬局がサイバー攻撃などのインシデントに直面した際、業務を継続し患者さんへの影響を最小限に抑えるには、事前に事業継続計画（BCP）を策定することが重要です。

BCPでは、以下の策定が求められます。

平時：体制整備とリスク把握
検知：異常の早期発見と報告体制の整備
初動対応：被害拡大を防ぐための即応手順
復旧処理：業務再開に向けた段階的対応
事後対応：再発防止策の策定と周知

これらを策定しておくことで、薬局はサイバーインシデント発生時にも業務を継続し、患者さんへの影響を最小限に抑えられます。厚生労働省や日本薬剤師会が提供するBCPの雛形や確認表を活用し、各薬局の実情に即した計画を策定しましょう。

なお、薬局におけるサイバーインシデントに備えたBCP策定については、以下の記事で詳しく解説していますのでご覧ください。
▶サイバーインシデントに備えたBCP策定ガイド｜薬局経営を支える実践的対策

4.薬局向けサイバーセキュリティチェックリストを活用した具体的な対策

薬局におけるサイバーセキュリティ対策を強化するには、厚生労働省が提供する「薬局におけるサイバーセキュリティ対策チェックリスト」の活用が有効です。

このチェックリストでは、以下の具体的な対策が推奨されています。

セキュリティパッチの適用：サーバーや端末、ネットワーク機器に最新のファームウェアや更新プログラムを適用し、既知の脆弱性を修正
アクセスログの管理：利用者のログイン時刻や操作内容を記録し、定期的に確認することで不正アクセスを早期発見
不要なアカウントの削除：退職者や使用していないアカウントを速やかに削除し、不正利用のリスクを低減
不要なソフトウェアの削除：バックグラウンドで動作している不要なソフトウェアやサービスを停止し、攻撃の侵入口を減らす

定期的にこれらの施策を見直すことで、薬局全体のサイバーセキュリティ水準を安定的に保てます。

5.薬局スタッフに必要なサイバーセキュリティ教育

薬局スタッフに必要なサイバーセキュリティ教育は、日々の業務に潜むリスクへの理解と実践的な対応力の習得を目的とします。

たとえば、職員がフィッシングメールに気づかず開封することで、システムがウイルスに感染するケースもあるため、次のような教育が重要です。

怪しいメールや添付ファイルの見分け方
安易なパスワード設定を避ける意識づけ
USBや私物端末の使用ルール
情報持ち出しや画面のぞき見防止策

サイバーセキュリティに関する知識の定着には、座学だけでなくロールプレイや訓練も効果的です。薬局全体で共通認識を持つことが、事故防止と信頼の確保に直結します。

6.まとめ

薬局では、患者情報を守りながら業務を安定して続けるために、サイバーセキュリティ対策が欠かせません。厚生労働省のガイドラインやチェックリストを活用することで、現場で取り組むべき対策を明確にできます。責任者の設置やシステムの安全運用、BCPの策定、スタッフ教育を組み合わせることで、被害を最小限に抑える体制が整います。当記事を参考に、薬局全体でセキュリティ意識を高め、信頼される医療提供体制の構築を進めてください。