業種・業界別の事業継続計画(BCP)のススメ<その3> - SMSによる安否確認サービス

BLOG

single post678 uncategorized

業種・業界別の事業継続計画(BCP)のススメ<その3>

今回は、医療や介護、福祉関係を所管する厚生労働省のBCPについてご紹介します。

厚生労働省は公式ホームページで「国民生活の保障・向上」と「経済の発展」を目指すために、社会福祉、社会保障、公衆衛生の向上と増進、働く環境の整備、職業の安定と人材育成を総合的かつ一体的に推進するとしています。
また、少子高齢化、男女共同参画、経済構造の変化などに対応するため、社会保障政策と労働政策を一体的に推進する方針を掲げています。

厚生労働省が所管する企業や団体で事業継続計画(BCP)を求められているのは、主に以下の施設と事業所です。

  • 病院などの医療施設
  • 介護や福祉施設

厚生労働省が求めるBCPには特徴的な点があり、大まかに次の2系統に分かれています。

  • 自然災害や感染症を中心としたBCP
  • 情報セキュリティを中心としたBCP

とくに情報セキュリティについては、一般的なBCPでも対象に含めるべきですが、優先度という点で日本では自然災害がメインとなっているのが現状です。
一方で厚生労働省は、医療施設へのサイバー攻撃(ランサムウェアによる被害)が日本でも多数発生している現状から、情報セキュリティ(厚生労働省はサイバーセキュリティとも表記)対策を医療施設などに義務化しました。(医療法施行規則を改正)

厚生労働省:医療分野のサイバーセキュリティ対策について

https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/cyber-security.html

厚生労働省:医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)

https://www.mhlw.go.jp/web/t_doc?dataId=00tc6024&dataType=1&pageNo=1

厚生労働省ではBCPを「事業継続計画」ではなく「業務継続計画」と表記している事もあります。検索時には、両方の表記を試すことをお勧めします。

医療施設以外にもBCPの義務化が行われており、法改正や報酬算定にも反映されています。
BCP作成の支援としては、次のような資料が公開されています。
(主な資料を抜粋しています)

厚生労働省:医療施設の災害対応のための事業継続計画

(災害拠点病院用と災害拠点病院以外の医療機関の2パターンに分かれています)
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/kenkou/kekkaku-kansenshou/infulenza/kenkyu_00001.html

厚生労働省:BCP策定の手引き 在宅医療を提供する入院医療機関編

https://www.mhlw.go.jp/content/10802000/001118134.pdf

厚生労働省:BCPのススメ、在宅医療の事業継続計画(BCP)策定に係る研究

https://www.mhlw.go.jp/content/10802000/001237303.pdf

厚生労働省:介護施設・事業所における業務継続計画(BCP)作成支援に関する研修

https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/hukushi_kaigo/kaigo_koureisha/douga_00002.html

厚生労働省:障害福祉サービス事業所等における業務継続計画(BCP)作成支援に関する研修

https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/hukushi_kaigo/kaigo_koureisha/douga_00003.html

厚生労働省:介護施設・事業所における感染症発生時の業務継続ガイドライン

https://www.mhlw.go.jp/content/001073001.pdf

厚生労働省:医療情報システムの安全管理に関するガイドライン 第6.0版

https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html

電子カルテシステムとセキュリティ対策

電子カルテシステムは、現在のところ大半のシステムは外部(インターネット網)から独立したネットワーク(院内専用のネットワーク)を構成しているかと思います。
にもかかわらずランサムウェア等の被害を受けているのは、

  • 電子カルテシステムと連携するシステムが外部と通信を行っている
  • リモート保守やデータの取り込みや書き出し等で外部と接続することがある

といった部分を悪用され、ネットワークへの侵入や感染を許してしまうケースがあります。

情報セキュリティのBCPの場合、守るべきシステムの中心として電子カルテシステムが挙がりますが、非常時の連絡ツールとして電子カルテシステムに組み込まれたメッセージツールや掲示板機能を利用する、といった対策がBCPとして記載されているケースを見た事があります。

情報セキュリティの観点からは、攻撃対象となりやすいシステムを非常時の連絡ツールとすること自体が新たな弱点と言えます。
非常時の連絡ツールは電子カルテシステムから独立した安否確認システム(サービス)を別立てで用意し、非常時も安定して稼働できる備えが必要です。

厚生労働省から提供されるBCP関連の情報は細分化されており、最初は扱いにくいかもしれませんが、細分化によって該当する場合には分かりやすく、より内容が具体化出来ているのではと思います。BCPを作る際は、運用/維持する際のどちらの場合も、小まめに厚生労働省の発表情報やガイドラインをご確認ください。
報酬算定ルールの改訂等により、自組織のBCP改訂が必要となる場合もあります。
定期見直しの視点は自社の変化だけでなく、外部の変化にも留意する必要があります。

お問合せ

03-5614-5555

受付時間 平日9:00~18:00

お問い合わせ