本文へスキップ
デジタル化の基礎

医療情報システムの安全管理ガイドライン第7.0版 ― クリニックに関係する変更点をやさしく

📄 出典: 厚生労働省「医療情報システムの安全管理に関するガイドライン 第7.0版」(2026年6月公開)。改定の全体像は 概要及び主な改定内容(PDF) にまとまっています。本記事は、これら公開資料をもとに、クリニックの現場目線で要点を整理したものです。

概要

厚生労働省の「医療情報システムの安全管理に関するガイドライン」が、2026年6月に 第7.0版 へ改定されました。前回の第6.0版(2023年5月)以降もサイバー攻撃が続いていること、クラウド活用が広がったことなどを背景にした見直しで、構成も4編から5編へと増えています。

医療機関が守るべきこのガイドラインは分量も多く、「うちのような小さなクリニックに、どこまで関係あるの?」と感じる先生も多いはずです。この記事では、クリニックの現場に関係する変更点にしぼって、やさしく整理します。

目玉①:小規模医療機関に朗報の「保守委託機関編」新設

今回いちばん大きいのが、保守委託機関編という新しい編の追加です。狙いは、セキュリティの専門人材が不足しがちな小規模医療機関への配慮です。

ポイントはこうです。

全サーバ(電子カルテを入れて動かしている PC 等、サーバの役割を果たす端末も含む)のセキュリティアップデートを委託(クラウドサービスの利用を含む)している医療機関は、保守委託機関編を守っていれば、ほかの編の項目も守っているものとみなされる

つまり、「自院で全部を読み解いて対応する」のではなく、信頼できる事業者やクラウドサービスに任せる形を整えれば、準拠のハードルが大きく下がるということです。クリニックにとっては現実的で、ありがたい方向の改定といえます。

目玉②:パスワードの考え方が変わった

これまで多くの現場で「定期的にパスワードを変える」運用がされてきましたが、第7.0版では、この**「定期的な変更」の要件が削除**されました。頻繁な変更はかえって単純なパスワードや使い回しを招き、セキュリティの向上につながらない、という近年の知見に沿った見直しです。

代わりに求められるのは、次の2つです。

  • 使い回しの禁止 … 同じパスワードをあちこちで使わない
  • アカウントロックの導入 … 何度も間違えたらロックし、総当たり攻撃を防ぐ

「定期変更をやめてよい」は、現場の負担を減らす歓迎すべき変化です。ただし使い回しをやめることとセットである点に注意してください。

目玉③:二要素認証 ― 対象の明確化と、猶予の緩和措置

二要素認証(パスワードに加えて、スマホの確認コードなどもう一つの要素で本人確認する仕組み)について、対象が クライアント端末およびサーバ と明確化されました。

導入の目標は 令和9年(2027年)4月1日時点とされていますが、その時点で対応が難しい医療機関には、次期システム改修のタイミングでの対応を許容する緩和措置が設けられています。いますぐ全部そろえられなくても、更新の機会に計画的に進めればよい、という現実的な運びです。

そのほかの変更点

  • 委託先・サプライチェーンリスクの管理 … システムやサービスを外部に委託する際、委託先の安全管理や、調達段階でのセキュリティ要件の明確化が求められます。
  • 医療機関と事業者の役割分担 … 「どこまでを自院が、どこからを事業者が担うか」を整理し、リスクコミュニケーションを行うことが重視されました。
  • クラウド活用の推進 … 高い専門性が必要な運用は、可能な範囲で事業者に委託し、クラウドを積極的に活用する方向が示されています(目玉①とも通じます)。

クリニックがまず確認したいこと

  1. パスワード運用の見直し … 「定期変更」をやめ、使い回しの禁止とアカウントロックへ。
  2. 委託・クラウドの状況を整理 … 電子カルテ・予約・メールなどを、誰が・どこで運用しているかを棚卸しする。
  3. 保守委託機関編に沿った体制づくり … サーバのセキュリティ更新を信頼できる事業者やクラウドに委ね、準拠のハードルを下げる。
  4. メールの送信ドメイン認証 … 予約確認などが確実に届くよう、SPF・DKIM・DMARC を整える(別記事で解説)。

まとめ

  • 安全管理ガイドラインが 第7.0版(2026年6月) に改定。保守委託機関編の新設で、**小規模医療機関は”委託を整えれば準拠しやすくなる”**方向へ
  • パスワードは定期変更をやめてよい(使い回し禁止+アカウントロックはセット)。二要素認証は端末+サーバが対象・令和9年4月目標・緩和措置あり
  • クリニックはまず、パスワード運用・委託状況の整理・保守委託機関編に沿った体制づくりから

「全部を自院で背負う」のではなく、「信頼できる相手に任せる形を整える」——第7.0版は、その方向を後押しする改定といえます。


📎 あわせて読みたい

本記事は、厚生労働省「医療情報システムの安全管理に関するガイドライン 第7.0版(2026年6月)」の公開資料(概要及び主な改定内容)に基づき、医療現場の視点で要点を整理したものです。個別の対応判断は原典および専門家にご確認ください。MEDICT は医療機関専門に IT 支援を行い、ホームページ制作や予約システム myappt などを提供しています。

関連キーワード(AI 抽出): #デジタル化の基礎 #3省2ガイドライン #安全管理ガイドライン #第7.0版 #保守委託機関編 #パスワード #二要素認証 #クリニック

医療 × ICT × AI のご相談は株式会社メディクトへ

予約システム・ホームページ制作・医療データ分析など、記事に関連するご相談も歓迎です。

株式会社メディクトに相談する →

関連する記事

デジタル化の基礎

予約確認メールが「迷惑メール」になる前に ― クリニックの送信ドメイン認証(SPF / DKIM / DMARC)入門

「予約確認メールが患者さんに届かない」「うちのクリニックを名乗る不審なメールが出回っている」——その原因の多くは、送信ドメイン認証(SPF・DKIM・DMARC)が未設定なことにあります。メールが迷惑メール判定される仕組みと、なりすまし・フィッシングを防ぐ3つの認証を、専門用語をかみくだいて解説。まず何から手をつければよいか、レンタルサーバや Google Workspace での入口まで、クリニックの現場目線で整理します。

続きを読む
デジタル化の基礎

電子カルテって何? いまさら聞けない「医療のデジタル化」のキホン

「電子カルテ」「レセコン」「3省2ガイドライン」——医療のデジタル化の話によく出てくる言葉を、できるだけやさしく、たとえ話を交えて解説します。むずかしい記事はちょっと…という方の最初の1本に。

続きを読む
デジタル化の基礎

クリニックの情報セキュリティ入門 — 3省2ガイドラインと、まず固める5つの備え

医療機関を狙ったランサムウェア被害や、電子化の進行で、クリニックにも情報セキュリティの備えが求められています。専門用語を避け、3省2ガイドラインの要点と、まず固めるべき5つの備え(バックアップ・認証・通信暗号化・端末/権限・リモート保守)を、医療現場を理解した視点でやさしく整理します。自院でできるチェックリスト付き。

続きを読む