{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
厚生労働省が2023年5月に改訂した「医療情報システムの安全管理ガイドライン(以下、安全管理ガイドライン)第6.0版」の中で、医療機関がサイバー攻撃対策として取るべき安全管理措置が明確化されるなど、国が医療機関にサイバー攻撃対策を促す流れが強くなってきています。また、2024年度の診療報酬改定においては診療録管理体制加算の見直しが行われ、非常時に備えたサイバーセキュリティ対策などの整備に係る要件および評価が見直されました。本稿では、診療録管理体制加算見直しの概要および医療機関収益への影響を説明するとともに、加算取得のために医療機関が対応すべき項目について解説します。
診療録管理体制加算見直しの概要
適切な診療記録の管理を推進する観点から2023年5月に改訂された「安全管理ガイドライン第6.0版」(詳細は「第11回 医療機関に求められるサイバーセキュリティ対策【前編】医療機関のサイバーセキュリティ対策の現状と医療情報システムの安全管理に関するガイドライン改定の要点」参照)を踏まえ、2024年度の診療報酬改定では、非常時に備えたサイバーセキュリティ対策などの整備に係る要件および評価が見直されました。「診療録管理体制加算」の区分・要件の見直しは大きく分けて以下3点です。
- 充実したサイバー攻撃対策を実施している病院に対して、診療録管理体制加算1(140点)を新設
- 現行の診療録管理体制加算1(100点)が診療録管理体制加算2(100点)となり、専任の医療情報システム安全管理責任者の配置が許可病床数200床以上の保険医療機関へ拡大
- 現行の診療録管理体制加算2(30点)が診療録管理体制加算3(30点)に移行
図表1:2024年度診療報酬改定における診療録管理体制加算の概要*1
| 加算名 | 点数 | 追加・変更された要件 |
診療録管理体制加算1 |
140点 |
|
| 診療録管理体制加算2 | 100点 |
|
診療録管理体制加算3 |
30点 |
|
(新)診療録管理体制加算1取得による医療機関収益への影響
(新)診療録管理体制加算1は、診療録管理体制加算2と比較し、点数が40点高くなります。これにより、診療録管理体制加算は入院初日に算定が可能なため、(新)診療録管理体制加算1の取得により「年間入院実患者数×400円」の増収が期待できます。例として600床規模の病院が、(新)診療録管理体制加算1を取得した場合の増収額を以下のとおり試算します。
【収益増の例】
病床規模600床、平均在院日数12日、病床利用率85%の場合、年間入院実患者数*15,513人となるため、年間では約620万円の収益増となる。
*:1年は365日とし、年間入院実患者数は年間入院延べ患者数を平均在院日数で除して算出する。年間入院延べ患者数は病床数に年間日数(365日)と病床利用率を掛け合わせて算出する。
(新)診療録管理体制加算1取得のために対応すべき項目
前述のように、(新)診療録管理体制加算1では追加・変更された要件が3点あります。以下、各要件にて対応すべき項目を説明します。
1. 医療情報システム安全管理責任者の設置(許可病床数200床以上の保険医療機関対象)
許可病床数200床以上の医療機関においては、医療情報システム安全管理責任者の設置が要件となっています。医療情報システム安全管理責任者は、情報セキュリティ方針の策定および教育・訓練を含む情報セキュリティ対策を推進することが求められており、「安全管理ガイドライン」では、情報セキュリティ対策に関する統制の実効性を確保するために、経営層がその役割を担うことが想定されています。具体的には、サイバー攻撃発生時には、医療情報システムの停止を受けて診療の停止を指示できる病院長クラスの人材が対象となります。
2. 医療情報システムのオフラインバックアップ体制の確保
医療情報システムのオフラインバックアップ体制については、非常時に備えた医療情報システムのバックアップを複数の方式で確保し、その一部はネットワークから切り離したオフラインで保管していることが要件となっています。この要件を満たすためには具体的にどういった対応が必要かは、疑義解釈の回答において説明されています(図表2)。
図表2:疑義解釈における回答
| 質問 | 回答(疑義解釈資料より一部抜粋*2) |
| 「非常時に備えた医療情報システム」とは、何を指すのでしょうか。 | 非常時において継続して診療が行えるために最低限必要なシステムを想定しており、電子カルテシステム、オーダーリングシステムやレセプト電算処理システムを指します。 |
| 「バックアップを複数の方式で確保」とは具体的にどのようなものを指すのでしょうか。 | 例えば、HDDとRDX(Removable Disk Exchange system)、クラウドサービスとNAS(Network Attached Storage)など複数の媒体でバックアップを保存することなどが考えられます。 |
| 「ネットワークから切り離したオフラインで保管」とは具体的にどのようなものを指すのでしょうか。 | 単にバックアップを取るだけではなく、当該媒体が常時ネットワークから切り離された状態(データ転送の際を除く。)であって、データ転送にてバックアップが取得された後に、ネットワークと完全に切り離された状態であることを十分に確認し、バックアップデータを適切に保存した場合に限り要件を満たします。したがって、媒体がネットワークから切り離されたオフラインでのバックアップがされていない場合やネットワークと完全に切り離されている状態であることが確認することができない状態である場合は要件を満たしません。 |
| 診療録管理体制加算の施設基準において、「例えば、日次でバックアップを行う場合、数世代(少なくとも3世代)確保する等の対策を行うこと。」とありますが、世代管理について、日次のバックアップは、差分のバックアップでよいのでしょうか。また、週次、月次のバックアップはどのように考えればよいのでしょうか。 | 週次や月次の世代管理・方法については、病院の規模やバックアップの方式等によって異なることから一概に示すことが難しいですが、緊急時に備えるために適した方法でリスクを低減する対策を講じてください。 |
3. 医療情報システムの利用が困難な場合の対応を想定したBCPの策定および訓練・演習の実施
医療情報システムに対するサイバー攻撃について、想定される被害、求められる対応および措置は、震災などの自然災害とは大きく異なります。そのため、多くの医療機関が策定している自然災害向けBCPをそのまま適用することは難しく、新たに策定が必要となると想定されます。サイバー攻撃向けBCP策定のポイントについては「第11回 医療機関に求められるサイバーセキュリティ対策【後編】サイバー攻撃向けBCP策定のポイント」にて解説していますが、BCPは策定して終わりではなく、職員教育や定期訓練・演習を通して最新の状況に合わせて見直しを行い、陳腐化を防止する必要があります。また、訓練や演習を通して見えてきた課題に対して、備えるべき目標や対策レベルを設定し、通常時からのリスク軽減や回避を中心とした事前対策を行うことが重要であり、(新)診療録管理体制加算1の要件においては、少なくとも年1回程度、定期的に訓練・演習を実施し、その結果を踏まえ、必要に応じて改善に向けて対応することが求められています。
現行の診療録管理体制加算1を取得している医療機関の中には、(新)診療録管理体制加算1取得に向けて動き始めている医療機関も多いと推察されます。2024年度の診療報酬改定により追加・変更された3つの要件のうち、最も注力すべきはBCP策定です。実際にサイバー攻撃が発生した際、早期に診療機能を回復させるにはBCPは不可欠と言えます。
*1:厚生労働省「令和6年度診療報酬改定の概要 【医療DXの推進】」(2024年3月5日版)
https://www.mhlw.go.jp/content/12400000/001219984.pdf
*2:厚生労働省「疑義解釈資料の送付について(その1)」(2024年3月28日)
https://kouseikyoku.mhlw.go.jp/kyushu/iryo_shido/000328786.pdf
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
