衆議院

もう少し質問したいところなんですが、ちょっと時間もあるので、今お聞きしたということで。 　このほか、診療所や薬局も、小さいところもこれからこのようにピッとやれば情報がつながることになるわけですが、例えば、診療所からハッキングされた場合には、支払基金の情報はその病院にいる患者さんの情報は全部出てしまう可能性があるのか、どういう状況でしょうか。

診療所経由の侵入のケースについてでございます。 　支払基金のシステムそのものについては、先ほど答弁申し上げたとおり、暗号化、認証等を行って対応しているところでございます。 　支払基金の電子カルテ情報共有サービスから個々の医療機関に提供される情報は、医療機関等の窓口でマイナ保険証を用いて本人確認と同意取得がなされた個人に対する情報のみを、同意取得から原則二十四時間以内に限り提供される仕組みとなっております。 　そのため、仮に悪意ある第三者が医療機関等を経由して情報窃取を試みた場合、電子カルテ共有サービスに関する同意取得から二十四時間以内の情報を除き、その医療機関の全ての患者の情報が窃取されることはないというふうに考えております。

最初の方に大臣、質問しようと思っていたんですが、この二十四時間見れているデータを、私の今レクで受けている中身では、保存できるというように理解をしていて、その保存されたデータをどのように扱うのかというのも、ちょっともし後で時間があれば質問したいなと思うんですけれども。 　先に、ＢＣＰという、資料を用意しましたが、四ページ目に資料をつけました。これは一年前の記事なので少し古いんですが、サイバー対策進まぬ病院、ＢＣＰ三割弱、予算足りずというふうになっていますけれども、何かサイバーアタック等があったときに、事業継続計画ということでＢＣＰをしっかり作って、最小限に被害を抑えるというようなことが義務づけられていると私は理解をしていますが、じゃ、今、このＢＣＰの作成状況、病院、診療所、薬局について数字を教えていただけますでしょうか。

ＢＣＰの策定状況についてでございますが、令和七年三月の時点で、病院におけるＢＣＰの作成状況は五七％というふうになっているところでございます。

診療所と薬局はどうなっていますでしょうか。

現時点では把握しておりません。

ちょっと大臣にお伺いしたいんですけれども、今、最初にＪＡＸＡの例等も出して、サイバー攻撃、非常に厳しい状況にあります。そういう中でも医療ＤＸをしっかり進めていかなければならないわけですけれども、ＢＣＰに関して、今、病院で半分、五七％、六〇％ぐらいだと。大分伸びているみたいですけれども、なぜ診療所と薬局は厚労省、データを持っていないのか。こんな状況で法律を通しちゃって、大臣、大丈夫なんでしょうか。

お答え申し上げます。 　病院については、先ほど新聞記事で御説明されたとおり、いわゆるサイバーテロの攻撃により非常に大きな被害を与えるという観点から、病院の状況について緊急的にＢＣＰの状況等を把握したものでございます。 　今後、診療所等についても、必要に応じて把握していきたいというふうに考えております。

大臣、今の説明は不十分ですので、しっかりと個人情報保護の方も両輪でやっていただきたいというように思います。 　そういう中で、次の質問なんですけれども、病院は、国家サイバー統括室作成の重要インフラのサイバーセキュリティに係る行動計画の重要インフラの十五分野の一つに指定されていて、情報が流出するなどした場合には経営層が損害賠償責任を問われる可能性があると聞いていますが、これは正しいでしょうか。

医療機関等の責任として、医療情報の漏えい等による損害賠償も含めて行政上、刑事上、民事上の責任が生じることについては、国が策定した医療情報システムの安全管理のガイドラインにおいて明示しているところでございます。厚労省が医療機関等に向け実施しているサイバーセキュリティーに関する研修なども通じて、医療機関への周知も図っているところでございます。 　引き続き、医療情報を含めた個人情報が医療機関等において適切に管理されるよう、取組を実施してまいりたいと考えております。