平成29年度より、災害拠点病院に、事業継続計画(BCP)の策定が義務付けられました。
令和3年度の介護報酬改定で、すべての介護サービス事業者に、事業継続計画(BCP)の策定が義務付けられました。(令和6年3月31日まで、経過措置あり)
そして、令和5年度の医療法施行規則の改正で、病院、診療所などの医療機関の管理者に、サイバーセキュリティを確保するために必要な措置を講じることが義務化されました。
その必要な措置の中で、「サイバー攻撃を想定した事業継続計画(BCP)」の策定が求められています。
この流れからすると、現在、災害拠点病院以外の病院には「サイバー攻撃を想定した事業継続計画(BCP)」以外のいわゆる「自然災害を想定した事業継続計画(BCP)」の策定義務はありませんが、いずれ、義務化されると思います。
そこで、東京都が出してる「医療機関の事業継続計画(BCP)策定ガイドライン【一般医療機関向け】」などを参考に、
「自然災害を想定した事業継続計画(BCP)」
を作成しましたので、ご紹介します。
使っていただけそうなら、参考程度に、または、たたき台として活用してください。
ちなみに、「事業継続計画(BCP)」は、次のように定義されています。
医療機関における事業継続計画(BCP)
一般的な事業継続計画(BCP)とは 事業継続計画(Business Continuity Plan(以下「BCP」という。))とは、「大地震等の 自然災害、感染症のまん延、テロ等の事件、大事故、サプライチェーン(供給網)の途絶、突発的な経営環境の変化など不測の事態が発生しても、重要な事業を中断させない又は中断しても可能な限り短い期間で復旧させるための方針、体制、手順等を示した計画のことをいう。
出典:東京都「医療機関の事業継続計画(BCP)策定ガイドライン (令和2年度版)」
事業継続計画(BCP)の作成例【医療機関用(災害拠点病院以外)】
厚生労働省などが出している事業継続計画(BCP)のガイドラインは複雑で、中小規模の医療機関の場合、一から作るのは、かなり大変です。
なので、極力、どの医療機関でも簡単に作成できるようにしたつもりです。
とはいえ、病院の立地や規模など、置かれている状況によって、想定する災害や組織する体制が変わってくるかと思いますので、適宜、改定してください。(ベースは、当院用のBCPなので)
【事業継続計画(BCP)無料ダウンロード】
2つのファイルで、1セットです。(両方ダウンロードしてください)
- 事業継続計画(BCP)【ワード】
⇒bcpsample20230801 - 事業継続計画(BCP)別添資料【エクセル】
⇒bcpbesshisample20230801
事業継続計画(BCP)の作成手順
ダウンロードしたファイルの主な「入力・改定箇所」は、次のとおりです。
計画(ワードファイル)
- 病院名の入力
- 病院の使命「○○医療」の入力
⇒ たとえば、「精神科医療」など - 都道府県、市区町村の入力
- 災害想定(ロケーションリスク)の確認
- 災害対策本部の設置場所の決定
- 搬送先リスト(医療機関)の確認
別添資料(エクセルファイル)
- 災害対策本部の平面図の挿入
- 緊急連絡先リストの作成
- 備蓄食一覧表の作成
- 30分以内登院可能職員の選定
- 停電時使用可能機器等一覧の作成
あとは、必要に応じて改定してください。
サイバー攻撃を想定した事業継続計画(BCP)
令和5年4月1日より、医療機関に義務付けられた「サイバーセキュリティを確保するための必要な措置」について、整理しておきます。
医療法施行規則の改正
医療法施行規則に、次の条文が追加されました。
医療法施行規則 第十四条
2 病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を確保するために必要な措置を講じなければならない。
医療法第25条第1項の規定に基づく立入検査要綱の改正
保健所等が行う立入検査の検査項目が、次のとおり追加となりました。
サイバーセキュリティを確保するために必要な措置を講じているか。
- 必要な措置については、「医療情報システムの安全管理に関するガイドライン第6.0版」を参照
- 上記ガイドラインのうち、医療機関において優先的に取り組むべき事項として、「『医療機関におけるサイバーセキュリティ対策チェックリスト』及び『医療機関におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関・事業者向け~』について」(令和5年6月9日医政参発0609第1号)で示す、「医療機関におけるサイバーセキュリティ対策チェックリスト」に必要な事項が記入されていることを確認すること。
- 特に、上記チェックリストにおいて医療機関に求める項目のうち、インシデント発生時の連絡体制図については、連絡体制図の提示を求めることにより、その有無を確認すること。
出典:厚生労働省「医療法第25条第1項の規定に基づく立入検査要綱(令和5年6月)」
医療法第25条第1項の規定に基づく立入検査の際に、
- 「医療機関におけるサイバーセキュリティー対策チェックリスト」の実施
- 「インシデント発生時の連絡体制図」の整備
について確認されるので、医療機関としては、この2つが最優先事項となります。
医療機関におけるサイバーセキュリティ対策チェックリスト(医療機関確認用)
【令和5年度中対応項目】
【令和6年度中対応項目】
「サイバー攻撃を想定した事業継続計画(BCP)」の策定は、令和6年度中の対応項目です。
なので、令和7年3月31日までに策定しなければなりません。
「サイバー攻撃を想定した事業継続計画(BCP)」のサンプル・作成例
色々と調べてみたんですが、「サイバー攻撃を想定した事業継続計画(BCP)」についての策定ガイドラインやサンプル・作成例など、全く見当たりませんでした。
なので、厚生労働省「医療情報システムの安全管理に関するガイドライン」や医療情報システムのベンダー(業者)さんの資料などを参考に、「サイバー攻撃を想定した事業継続計画(BCP)」をつくってみました。
使っていただけそうなら、参考程度に、または、たたき台として活用してください。
こちらの記事で、紹介しています。(ワード・エクセルファイルでダウンロードできます)
⇒サイバー攻撃用の事業継続計画(BCP)と連絡体制図のサンプル・作成例【中小医療機関向け】
まとめ
大規模な地震・ 風水害などの自然災害またはそれに類する事態が発生した場合、病院中が、かなり混乱するはずです。
そのとき、事業継続計画(BCP)があると、「まず、何をすればいいか?」「自分の役割は何なのか?」がわかるので、少しは混乱が抑えられると思います。
ただ、どんなに事前にイメージ(準備)したとしても、想定外のことが起こる可能性もかなり高いと思います。
なので、逆に「BCPは、作り込み過ぎても、あんまり意味ないかも!?」って個人的には思っています。
つまり、「ざっくり作っておいて、訓練などを重ね、柔軟に対応できるようにするほうが大切」かな~っと。
最後までお読みいただき、ありがとうございます。
【あわせて読みたい】
コメント