サイバー対処能力強化法とは何か
サイバー対処能力強化法は、正式には 「重要電子計算機に対する不正な行為による被害の防止に関する法律」 といい、サイバー攻撃による被害の未然防止や対処能力の強化を目的として整備された法律です。
政府は、国家安全保障戦略の流れの中で、サイバー安全保障分野の対応能力を高める方針を進めており、 本法はその具体化の一つとして位置付けられています。
何のための法律なのか
サイバー攻撃は、ランサムウェア、不正アクセス、委託先経由の侵害など、年々巧妙化・深刻化しています。 そのため、政府は、重要な情報システムや社会インフラを守るために、 民間事業者と行政が連携しながら対処する枠組みを強化しています。
特に、国民生活や経済活動の基盤を支える分野では、サイバー攻撃がサービス停止や情報漏えいに直結するため、 平時からの検知、記録、報告、復旧体制が求められます。
主な内容
公表資料を踏まえると、サイバー対処能力強化法の実務上の柱は、次のように整理できます。
1. 官民連携の強化
- 政府と事業者の情報共有を通じ、サイバー攻撃の未然防止や対処支援を進める枠組み。
- 重要な事業者においては、報告体制や連絡体制の整備がより重要になります。
2. 通信情報の取得・利用
- 攻撃の兆候把握や分析のため、一定の仕組みの下で通信情報を利用する制度整備が進められています。
- 実務では、ログ保全やアクセス記録の整備が一段と重要になります。
3. 攻撃サーバー等へのアクセス・無害化措置
- 確認された攻撃サーバー等に対して、必要な措置を講じるための体制整備が進められています。
- 企業側としては、政府対応を前提に、迅速な事実整理と情報共有ができる状態が重要です。
4. 特定重要電子計算機・インシデント報告
- 基幹インフラ事業者等に対しては、届出やインシデント報告の制度が関係してきます。
- 自社が直接の対象でなくても、委託先、再委託先、保守ベンダーとして影響を受ける可能性があります。
医療機関・歯科医院にとって重要な理由
医療機関や歯科医院では、電子カルテ、レセコン、予約システム、会計システム、画像管理、 クラウドストレージ、遠隔保守など、外部接続を伴う仕組みが増えています。
そのため、サイバー対処能力強化法の直接対象かどうかだけでなく、 「自院のどのシステムが重要なのか」「委託先を含めて誰が何を報告するのか」 を整理しておくことが、現実的な第一歩です。
実務で見るべき7つのチェックポイント
1. システム・データの棚卸
- 電子カルテ、会計、予約、サーバ、PC、ルーター、クラウドサービスの一覧化。
- 自院管理か、外部委託か、SaaSか、リモート保守かの切り分け。
- 重要システムを特定し、障害時の優先順位を決める。
2. アカウント・権限管理
- 初期パスワードの放置がないか確認する。
- 職種ごとにアクセス権限を分け、最少権限の原則を徹底する。
- 退職者や委託終了先のアカウントを無効化する。
3. パッチ適用と不要機能の停止
- OS、アプリ、ネットワーク機器、医療機器付帯ソフトの更新状況を確認する。
- 使っていないサービスやソフトは停止・削除する。
4. バックアップとログ保全
- 重要データのバックアップ頻度、保管先、復旧手順を定義する。
- アクセスログ、操作ログ、接続ログを保存し、事後検証に使える状態にする。
5. サイバー攻撃を想定したBCP
- 平時対応、検知、初動、復旧、再発防止の流れを文書化する。
- 診療継続に最低限必要なシステムと、優先復旧順を決める。
6. 内部・外部の連絡体制
- 院内責任者、代替担当者、ベンダー、保守会社、クラウド事業者の連絡先を整理する。
- インシデント時に誰が最初に報告し、誰が判断するかを決める。
7. 規程・契約の見直し
- パスワード運用、USB利用、リモートアクセス、持出し端末などのルール整備。
- ベンダーや委託先との契約に、セキュリティ責任や報告義務を明記する。
医療機関・歯科医院が今から進めたい5ステップ
まずは、何がどこにあり、誰が管理し、どこまで外部に依存しているかを見える化します。
退職者アカウントや過大権限は、事故の温床になりやすいため優先的に整理します。
復旧可能性と証跡確保の両方を意識し、実際に復元できるかまで確認します。
「誰が」「どこへ」「何を報告するか」を明文化し、止まらない診療体制を考えます。
一度作って終わりではなく、委託先変更や新システム導入のたびに更新する仕組みが必要です。
F Labelが支援できること
サイバー対処能力強化法への対応は、単にセキュリティ製品を入れる話ではありません。 実務では、 システム台帳、委託先管理、インシデント報告フロー、BCP、ログ保全、規程整備、医療DXとの整合 をつないで整理する必要があります。
F Labelでは、医療機関・歯科医院・関連事業者向けに、 現場運用に落ちる形での文書整備、台帳整備、業務フロー整理、ベンダー調整、Web・システム面の実装支援まで含めた対応をご支援できます。
法改正対応を「読んで終わり」にしないために
「電子カルテや予約システムの棚卸ができていない」 「委託先との責任分界が曖昧」 「サイバーセキュリティ対策チェックリストを運用に落とし込めていない」 という場合は、今のうちに整理しておくことが重要です。
F Labelでは、医療DX、規程整備、台帳設計、BCP整理、業務フロー整備を一体で見直すご相談を承っています。
まとめ
サイバー対処能力強化法は、サイバー攻撃に対する日本全体の対処能力を高めるための重要な法整備です。 直接の対象事業者でなくても、医療機関、歯科医院、委託先ベンダー、クラウド利用者として、 影響を受ける可能性は十分にあります。
だからこそ重要なのは、 平時からの棚卸、記録、権限管理、バックアップ、ログ保全、BCP、連絡体制の整備 です。 サイバーセキュリティ対策は、法対応であると同時に、診療継続と患者信頼を守る経営基盤でもあります。
参考・引用
- 内閣官房「サイバー安全保障に関する取組(能動的サイバー防御の実現に向けた制度整備等)」
- 内閣府「サイバー安全保障 Cyber Security」
- e-Gov法令検索「重要電子計算機に対する不正な行為による被害の防止に関する法律」
- NISC「サイバー対処能力強化法及び同整備法について」
- 厚生労働省「令和7年度版 医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル」
- 厚生労働省「医療機関確認用 令和7年度版 医療機関におけるサイバーセキュリティ対策チェックリスト」
免責事項
本記事は、公開日時点で確認できる公的資料等をもとに一般的な情報提供を目的として作成したものであり、 特定の事業者・医療機関に対する法的助言、監査対応、個別のセキュリティ保証を行うものではありません。 実際の対応要否、法令適用、届出・報告の要否、委託先管理、技術的対策については、最新の公的資料、所管官庁、 顧問弁護士、セキュリティ専門家、システムベンダー等にご確認ください。