「BCPって何?」
「サイバーインシデントにBCP策定はなぜ必要なの?」
「BCPはどのように策定すればよい?」
このような疑問を抱く薬局関係者は少なくありません。サイバー攻撃による個人情報の流出やシステム停止は、患者さんとの信頼関係や地域医療の継続性に深刻な影響をおよぼします。
この記事では、薬局が策定すべきBCPの基本と具体的なステップを、厚生労働省の最新ガイドラインや事例をもとに解説します。薬局としての信頼を守る体制整備のヒントをつかみ、緊急時の備えにお役立てください。
目次
1.薬局でサイバーインシデント発生時におけるBCPの必要性
デジタル化が進む薬局では思わぬサイバーインシデントが業務や信頼に影響をおよぼす可能性があり、日常的な備えが不十分な場合、被害は広がりやすくなります。ここでは、万が一のサイバーインシデントに備えるために知っておくべき基本を確認していきましょう。
薬局におけるサイバー攻撃の現状とリスク
薬局におけるサイバー攻撃のリスクは深刻化しており、レセプトコンピュータや電子薬歴などの患者情報を扱うシステムが攻撃の対象とされています。たとえば、2022年3月には、ある薬局チェーンのメールアカウントが不正アクセスを受け、約50,000通の迷惑メールが利用者に送信される事態が発生しました。また、2024年10月には、別の薬局チェーンにおいて従業員がサポート詐欺により不正アクセスを受け、約39,000人の個人情報が漏洩する可能性が報告されました。これらの事例は、薬局がサイバー攻撃の標的となり得ることを示しています。
システムの停止や個人情報の漏洩は、業務の継続性や患者さんからの信頼に大きな影響をおよぼします。そのため、薬局においてもサイバーセキュリティ対策を強化し、患者情報の保護と業務の継続性を確保することが求められているのです。
BCP(事業継続計画)とは?薬局における位置づけ
薬局におけるBCP(事業継続計画)とは、災害やサイバー攻撃など非常時でも必要な業務を継続・復旧させるための行動計画です。医療提供体制を維持するために、業務の優先順位や代替手段を事前に整理することが求められています。また、法令順守の観点だけでなく、患者さんや地域からの信頼を維持するためにもBCPの整備は不可欠です。医療機関としての社会的責任を果たすには、平時からの準備と継続的な見直しが重要です。
なお、薬局におけるサイバーセキュリティ対策については、以下の記事でも詳しく解説しているためご覧ください。
▶薬局におけるサイバーセキュリティ対策!厚生労働省ガイドラインに準拠した対応
厚生労働省・日本薬剤師会の最新指針に基づいた対策の必要性
薬局におけるサイバーインシデント対策は、行政が強く求める喫緊の課題です。
医療分野でランサムウェアや不正アクセスの被害が相次ぐため、厚生労働省は対策の徹底を目的に「医療情報システムの安全管理に関するガイドライン第6.0版」を公表しました。日本薬剤師会も「医療情報システムの安全管理について」のページで薬局向けBCP雛形や手引きを提示し、現場での活用を促進しています。
薬局におけるDXが進んでいるからこそ、サイバーインシデント対策に関する体制の見直しと計画策定が必要です。
2.薬局がサイバーインシデント対策として策定すべきBCPの5ステージ
サイバー攻撃によって薬局の業務が止まると、患者さんへの影響は避けられません。被害を最小限に抑え、早期に通常業務へ戻すには、段階ごとの備えが不可欠です。
ここでは、計画的にBCPを策定するための要点を見ていきましょう。
平時:体制整備とリスク把握
薬局がサイバーインシデントに備えるには、平時からの体制整備とリスク把握が重要です。
まず、すべての情報機器について台帳を作成し、ネットワーク構成図で接続状況を明確にします。加えて、医療情報システム安全管理責任者を定め、連絡先や役割分担を文書化することで、有事の混乱を防げます。外部業者との契約内容についても、障害時の対応範囲や連絡方法を事前に確認しておくことも必要です。こうした準備が被害抑制の基盤になります。
検知:異常の早期発見と報告体制の整備
薬局におけるサイバーインシデント対策では、異常の早期検知と報告体制の整備が重要です。
職員が不審な動作や警告表示に気づいた際にすぐ連絡できるよう、報告経路と連絡先を明確にしておきます。連絡フローには、医療情報システム安全管理責任者や必要に応じて外部CSIRT(サイバーセキュリティ対応チーム)への通知も含め、経営者に速やかに伝達される体制を構築します。日頃から訓練と共有をおこなうことで、初動の遅れを防ぐ仕組みが整うでしょう。
初動対応:被害拡大を防ぐための即応手順
薬局でサイバーインシデントが発生した際の初動対応では、被害拡大を防ぐための即応手順を事前に明確化しておくことが重要です。
まず、異常を検知した機器のネットワーク遮断や使用停止など、緊急措置を迅速に実行できる体制を整えます。次に、原因調査に必要な情報を保全しながら、影響範囲を把握します。そのうえで、責任者や経営層が判断を下せるよう、連絡と報告の流れを整理しておくことも必要です。対応手順の整備が、迅速な被害抑制につながります。
復旧処理:業務再開に向けた段階的対応
薬局でサイバーインシデントが発生した後の復旧処理では、段階的かつ優先度に基づいた業務再開の手順が必要です。
まず、安全性が確認されたバックアップデータから情報を復元し、被害にあったシステムの再構築を実施します。次に、調剤やレセプト処理など重要度の高い業務から順に再開し、他業務へと段階的に移行します。復旧計画には必要な手順や担当を明記し、実行時の混乱を避ける体制を整えておくことが不可欠です。
事後対応:再発防止策の策定と周知
薬局でサイバーインシデントが発生した場合、事後対応では再発防止策の策定と関係者への周知が不可欠です。
まず、原因調査の結果に基づき、技術面・運用面の両方から再発防止策を検討し、具体的な対応を実行に移します。復旧処理の結果と情報漏えいの有無については、速やかに所管行政機関や関係機関へ報告する必要があります。全職員に対して、研修やマニュアルの更新を通じて内容を共有し、継続的なセキュリティ対策の向上につなげましょう。
3.薬局におけるBCP策定・見直し時に役立つ確認表と手引き
BCPは一度作成して終わりではなく、定期的な見直しと更新が求められます。薬局に適した実践的な対策をおこなうには、客観的な視点で状況を整理し、必要な要素を段階的に整えることが大切です。
ここでは、薬局におけるBCP策定・見直し時に役立つ支援ツールを活用する方法について解説します。
厚生労働省が公開する「確認表」活用のすすめ
厚生労働省が公開する「サイバー攻撃を想定したBCP策定の確認表」は、薬局がBCPを策定・見直す際に必要な項目を網羅した実践的なチェックリストです。項目ごとに有無や実施状況を確認する形式のため、現在の対策状況がひと目で把握できます。不足部分の洗い出しや改善点の優先順位付けにも役立つため、BCPの初期構築から継続的な更新まで幅広く活用できます。薬局の規模に関わらず使える汎用性の高さが特徴です。
手引きを使ってBCPを薬局に最適化する方法
薬局用に、「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き」も公開されています。この手引きを活用してBCPを策定する際は、業務の重要度や復旧時間の目安を踏まえ、薬局の規模やシステム構成に合わせて調整することが重要です。たとえば、小規模薬局では最低限の人員で対応可能な体制を想定し、大規模薬局では部門ごとの役割分担を明確にします。各項目をそのまま当てはめるのではなく、自施設の実情に即して柔軟に見直すことが、実効性のあるBCPにつながります。定期的な更新も忘れずおこなうようにしましょう。
4.サイバーインシデント対策としてのBCPは薬局経営戦略の一部!信頼を守る継続的改善
サイバーインシデントは薬局経営に深刻な影響を与えるため、BCPは単なる緊急対策ではなく継続的に磨き上げるべき経営資源といえます。経営の信頼性や社会的責任を果たすためにも、BCPをどのように維持・活用していくかが重要です。
ここでは、BCPを薬局経営戦略の一部として捉えたうえでの実践的な考え方について解説します。
定期的な訓練・見直しが重要
薬局におけるBCPは、一度作成すれば終わりではなく、実効性を保つために定期的な訓練と見直しが欠かせません。システム更新や人事異動などに応じて、手順や連絡体制を再確認し、現場で実際に機能するか検証することが重要です。避難訓練と同様に、サイバーインシデントを想定した模擬対応を年1回以上おこなうことで、職員の意識向上と対応力の強化が期待されます。定期的なアップデートが、BCPの実効性を支えるでしょう。
BCPの存在が地域医療における責任を果たす証
薬局におけるBCPの存在は、災害やサイバー攻撃といった非常時でも地域医療を継続する姿勢のあらわれです。日常業務だけでなく、緊急時の対応力を備えることは、患者さんや医療機関からの信頼を高める要素となります。地域医療を担う一員として、医薬品の供給や服薬指導を止めない体制を整備することは、社会的責任を果たす証でもあります。BCPは医療の持続性と薬局の経営戦略を支える大切な基盤です。
次世代への引き継ぎにも不可欠な基盤整備
薬局のBCPは、非常時対応だけでなく経営継承にも有効な資産です。業務手順や対応体制を明文化することで、次世代への引き継ぎ時に情報の断絶を防げます。BCPは見える化された危機管理のマニュアルであり、経営者が交代しても一定水準の安全体制を維持できます。厚生労働省や日本薬剤師会が公開している雛形を参考に文書化を進めれば、実務への反映もしやすくなるでしょう。世代交代を見据えた備えとしても、BCP策定は重要な取り組みです。
5.まとめ
薬局におけるBCP策定は、サイバーインシデントから業務と信頼を守るための重要な取り組みです。段階的な対応ステージに沿って計画を整備し、訓練や見直しを継続することで実効性が高まります。行政が提供する確認表や手引きを活用することで、薬局に適した計画の策定も可能です。また、BCPは災害時だけでなく、経営継承や地域医療への責任を果たす基盤でもあります。当記事の内容を参考に、組織全体でサイバー攻撃に対する備えの強化を進めてください。
