令和5年度の医療法施行規則の改正で、病院、診療所などの医療機関の管理者に、サイバーセキュリティを確保するために必要な措置を講じることが義務化されました。
その必要な措置の中で、
- サイバーインシデント発生時における連絡体制図
- サイバー攻撃を想定した事業継続計画(BCP)
の作成(策定)が求められています。
もちろん、当院でも作成しなければならないため、厚生労働省「医療情報システムの安全管理に関するガイドライン」などを参考に作成しました。
ただ、参考になる資料やサンプル(作成例)が、あまりなく、結構、苦戦しました。
そこで、当院用に作成した
- サイバーインシデント発生時における連絡体制図(医療情報システム障害発生時連絡体制図)
- サイバー攻撃を想定した事業継続計画(BCP)
をサンプル・作成例として紹介します。
使っていただけそうなら、参考程度に、または、たたき台として活用してください。
サイバー攻撃用の事業継続計画(BCP)と連絡体制図の作成例【ダウンロード】
中小規模の医療機関用に、極力、簡単に作成できるようにしたつもりです。
とはいえ、医療機関の立地や規模など、置かれている状況によって、想定する障害や対応が変わってくるかと思いますので、適宜、改定してください。
【無料ダウンロード】
- 医療情報システム障害発生時連絡体制図【エクセル】
⇒medical-information-system-20230801 - サイバー攻撃を想定した事業継続計画(BCP)【ワード】
⇒cyberattack-bcp-20230801
医療情報システム障害発生時連絡体制図(サイバーインシデント発生時における連絡体制図)の作成手順
こんな様式になっています。
「1.医療情報システム」の
- システム名
- 部門
- 部門責任者
「2.連絡体制」の
- ○○
の部分を入れると、それっぽくなると思います。
あとは、あなたの医療機関の状況にあわせて、微調整してください。
サイバー攻撃を想定した事業継続計画(BCP)の作成手順
こんな様式になっています。
【表紙】
【ページ1】
【ページ2】
赤く囲った部分を入力(変更)すると、それっぽくなると思います。
あとは、あなたの医療機関の状況にあわせて、微調整してください。
ちなみに、うちの場合は、「サイバー攻撃を想定した事業継続計画(BCP)」の別添資料として、
- 医療情報システム機器の設置場所(平面図)
- ネットワーク構成図
- 医療情報システム管理台帳
- 医療情報システム障害発生時連絡体制図(サイバーインシデント発生時における連絡体制図)
- 医療情報システムのデータ等のバックアップの実施と復旧手順
を準備し、ファイルにまとめています。
このあたりの資料は、医療情報システムのベンダー(業者)さんなどに依頼すると、作成してくれたりします。
まとめ
医療情報システム(電子カルテなど)に故障や障害発生した場合、病院中が、かなり混乱するはずです。
そのとき、事業継続計画(BCP)があると、
「まず、何をすればいいか?」
「自分の役割は何なのか?」
がわかるので、少しは混乱が抑えられると思います。
ただ、どんなに事前にイメージ(準備)したとしても、想定外のことが起こることもあるでしょうから、「これで完璧!」ってことはありません。
なので、まずは、ざっくり作っておいて、訓練などを重ねながら、どんどん改定していく方がいいかなと思います。(つまり、「ざっくり作ってありますよ」ってことです)
【関連記事】
「自然災害を想定した事業継続計画(BCP)のサンプル・作成例」をこちらの記事で紹介しています。
ワードとエクセルで作成しています。(ダウンロードできるようにしてあります)
⇒事業継続計画(BCP)のサンプル・作成例【医療機関用(災害拠点病院以外)】
最後までお読みいただき、ありがとうございます。
【あわせて読みたい】
コメント