業務継続計画(BCP)における対策
2025年8月

執筆者:株式会社 アイ・ピー・エム
    取締役 副社長
    外尾 和之(ほかお かずゆき)氏

BCP(Business Continuity Plan)とは、自然災害や感染症の流行、大規模なシステム障害、近年ではサイバーテロなどが起きた際に損害を最小限に抑えつつ速やかに事業を復旧させるための計画のことである。医療施設においては医療活動の継続が最も重要な目的となる。

BCPは災害拠点病院では2017年にすでに義務化されているが、2025年4月より介護施設でも義務化され、策定していない場合は減算される厳しい措置がとられることになった。

病院におけるBCPの策定率は、2018年12月の厚生労働省の調査によると、災害拠点病院でも7割程度で、それ以外の施設では2割程度という結果であった。古いデータではあるが、少なくとも一般の医療機関での策定率は現在もそれほど向上していないと推測される。

今回は、特に病院情報システムについての課題と対策について考えてみたい。

1. BCPの重要性

医療機関では、災害や緊急事態が発生しても、患者に必要な医療を提供し続ける必要がある。そのためには、平時より緊急時を想定した対策と準備が重要である。最近ではNEXCO中日本で発生したETC障害があるが、BCP対策が十分であればこれほどの混乱にはならなかったのではないだろうか?

ここで、医療機関でのBCPの重要性を整理してみたい。

  1. 医療提供の継続:ライフラインの停止などにより通常の医療サービスを提供できない場面であっても必要最低限のサービス継続が必要
  2. 需要増加への対応:自然災害による負傷者や、パンデミックによる患者増加で一度に患者が集中
  3. 医療従事者の確保:医療従事者自身の被災や移動できないことも考慮
  4. インフラの確保:電気や水、ネットワークが絶たれても医療が提供できる準備
  5. 患者情報の保全と参照:電子カルテにおいては、緊急時でも患者情報の参照手段とデータの保全が必要

これらの内容を踏まえてシステムに関係する部分を掘り下げてみたい。

2.対策のポイント

災害の種類や規模によって対策は変わってくるが、システムにおいては電気とネットワーク、サーバなどの機器の状況が判断基準となる。

自家発電は容量にもよるが、基本的には医療機器側に割り当てられると思われるため、システムはUPSにより正しくシャットダウンされることになるであろう。

ネットワークは院内と院外で大きく変わる。院内ネットワークが不能となった場合、システムは全面的に利用不可となる。院外ネットワークはひと昔前であればそれほど影響がなかったが、今ではオンライン資格確認が導入されたため、保険証確認ができなくなるなどのリスクへの対策は必要となる。

また、各職員の安否や出勤可能かどうかの情報を集約して確認するシステムもあるので参考にしていただきたい。

ここで最も重要な問題はサーバの消失である。自然災害もあるが、最近ではサイバーテロもあり、これまでの冗長化だけでは対処できない。この対策は(1)データの保全 と(2)診療継続のためのデータ参照 という2つの面から考えたい。

(1)データ保全

これは、システム復旧の際データの再構築に必要なバックアップを取っておくことである。その範囲は全データであり、容量も大きくなる。障害によっては複数のバックアップが必要となる。バックアップ先が院内か院外か? 院内でもサーバ室とそれ以外の場所か? また、サイバーセキュリティ対策としては、何世代かに分けたデータ保存や、オフラインバックアップ(注1)も必要である。これは、診療録管理体制加算1の施設基準(注2)にもなっている。

注1:バックアップデータをネットワークから切り離された環境に保存することで、ランサムウエア感染から保護すること。

注2:非常時に備えた医療情報システムのバックアップを複数の方式で確保し、その一部はネットワークから切り離したオフラインで保管していること。例えば、日次でバックアップを行う場合、数世代(少なくとも3世代)確保するなどの対策を行うこと。なお、ネットワークから切り離したオフラインで保管していることについては、医療情報システム・サービス事業者との契約書などに記載されているか確認し、当該契約書などの記載部分についても届出の添付資料とすること。

(2)データ参照

システムが停止した状態であっても診療を行う際は、患者の最低限の情報は参照する必要がある。東日本大震災の時には、患者の定期処方がわからずに混乱する場面もあった。これらについては、外部とのネットワークが使えることが前提であるが、昨年度厚生労働省から提供が開始された救急時医療情報閲覧機能や、当コラム4月号(注3)でご紹介した全国医療情報プラットフォームなどが利用できると考えられる。(ただし、マイナ保険証の課題は残っている)

注3:「地域医療情報連携ネットワークと全国医療情報プラットフォーム」(2025年4月)
https://www2.nec-nexs.com/supple/medical/column/hokao/column006.html


画像をクリックすると拡大表示します。

出典:厚生労働省医政局「令和6年9月救急時医療情報閲覧 概要案内」

では、外部ネットワークが利用できない場合の対策はどうするか? 院内の別サーバやNAS(ネットワーク接続型ストレージ)に必要最低限の患者情報を参照可能なデータ形式(PDF)で保存しておくなどがあげられる。参照の際はタブレットなどの携帯端末も有効と考える。

3.BCP策定にあたって

具体的にBCPを策定する際に、どのような手順でどのようなものを作ればよいのかを検討・整理するのは容易なことではないと思われる。また、策定には多くのリソースも要する。これを少しでも効率的に実行するために、厚生労働省のホームページに手引きやテンプレートが示されているので、是非参考にしていただきたい。

  • 厚生労働省ホームページ
    医療施設の災害対応のための事業継続計画(BCP)
    https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/kenkou/kekkaku-kansenshou/infulenza/kenkyu_00001.html

終わりに

BCP対策は費用がかかるだけでなく、人的リソースもかなり負担となるが、平時からの訓練も含めて必ず実行しなければならない課題である。災害はいつどこで発生するか予測はできない。日頃からの準備を進めていただくきっかけなれば幸いである。

上へ戻る