厚生労働委員会

最初の方に大臣、質問しようと思っていたんですが、この二十四時間見れているデータを、私の今レクで受けている中身では、保存できるというように理解をしていて、その保存されたデータをどのように扱うのかというのも、ちょっともし後で時間があれば質問したいなと思うんですけれども。 　先に、ＢＣＰという、資料を用意しましたが、四ページ目に資料をつけました。これは一年前の記事なので少し古いんですが、サイバー対策進まぬ病院、ＢＣＰ三割弱、予算足りずというふうになっていますけれども、何かサイバーアタック等があったときに、事業継続計画ということでＢＣＰをしっかり作って、最小限に被害を抑えるというようなことが義務づけられていると私は理解をしていますが、じゃ、今、このＢＣＰの作成状況、病院、診療所、薬局について数字を教えていただけますでしょうか。

ＢＣＰの策定状況についてでございますが、令和七年三月の時点で、病院におけるＢＣＰの作成状況は五七％というふうになっているところでございます。

診療所と薬局はどうなっていますでしょうか。

現時点では把握しておりません。

ちょっと大臣にお伺いしたいんですけれども、今、最初にＪＡＸＡの例等も出して、サイバー攻撃、非常に厳しい状況にあります。そういう中でも医療ＤＸをしっかり進めていかなければならないわけですけれども、ＢＣＰに関して、今、病院で半分、五七％、六〇％ぐらいだと。大分伸びているみたいですけれども、なぜ診療所と薬局は厚労省、データを持っていないのか。こんな状況で法律を通しちゃって、大臣、大丈夫なんでしょうか。

お答え申し上げます。 　病院については、先ほど新聞記事で御説明されたとおり、いわゆるサイバーテロの攻撃により非常に大きな被害を与えるという観点から、病院の状況について緊急的にＢＣＰの状況等を把握したものでございます。 　今後、診療所等についても、必要に応じて把握していきたいというふうに考えております。

大臣、今の説明は不十分ですので、しっかりと個人情報保護の方も両輪でやっていただきたいというように思います。 　そういう中で、次の質問なんですけれども、病院は、国家サイバー統括室作成の重要インフラのサイバーセキュリティに係る行動計画の重要インフラの十五分野の一つに指定されていて、情報が流出するなどした場合には経営層が損害賠償責任を問われる可能性があると聞いていますが、これは正しいでしょうか。

医療機関等の責任として、医療情報の漏えい等による損害賠償も含めて行政上、刑事上、民事上の責任が生じることについては、国が策定した医療情報システムの安全管理のガイドラインにおいて明示しているところでございます。厚労省が医療機関等に向け実施しているサイバーセキュリティーに関する研修なども通じて、医療機関への周知も図っているところでございます。 　引き続き、医療情報を含めた個人情報が医療機関等において適切に管理されるよう、取組を実施してまいりたいと考えております。

このサイバーセキュリティーのシステムですけれども、相当な技術も必要ですし、絶えず更新をしていかなければ、今までの入られているケースでも、欠陥が見つかった機器をそのまま替えないで使っていたために入られたりしているわけです。 　それで、これから診療所やちっちゃい薬局も、みんなやるわけですよね。診療所や薬局も全てそういうセキュリティー関係をしっかりやらなければ、横展開されるかもしれませんから規模がどれだけになるか分かりませんけれども、電子カルテ情報共有サービスに入られる可能性があるわけです。 　こういう状況の中で、しっかりサイバー関係の指導というかガイドラインを、こういうふうにやってくださいというのを出すとともに、予算をしっかりつけなければなりませんが、今、この国会でも議論になっていますけれども、病院が物すごい赤字なわけです。半分以上の病院が赤字で、赤字体制なのにサイバーセキュリティーの費用

委員の御指摘は大変重要だというふうに考えておりまして、そういったリスクが非常に高まっているということを我々は十分認識をして対応しなければいけないと考えています。 　医療機関の経営改善につきましては、補正予算なりあるいは診療報酬改定なりで対応していく必要があると思いますし、それと同時に、先ほどから委員御指摘のセキュリティー対策については、我々としても、医療機関等への周知をしっかりこれまで以上に取り組んでいきたいと考えています。