【薬局向けBCP策定｜サイバー攻撃への備えと作成手順を解説

医療機関へのサイバー攻撃が増加する中、診療停止や個人情報の流出といった深刻な被害が相次いでいます。薬局も例外ではありません。2024年度中には、薬局におけるサイバーセキュリティ確保が義務化され、サイバーインシデント発生時の事業継続計画（BCP）策定が求められています。
本記事では、日本薬剤師会のひな形を活用した薬局BCP策定の手順と、実効性のある計画を作成するためのポイントをわかりやすく解説します。

医療分野におけるサイバー攻撃の現状

医療機関へのサイバー攻撃が増加傾向

警察庁の公開データによると、医療・福祉分野へのサイバー攻撃は年々増加しており、現在も高い水準で推移しています（図参照）。2021年から2024年にかけて、病院のランサムウェア被害が毎年報告されており、特に2021年と2022年の事案では、電子カルテをはじめとする院内システムが停止し、診療が長期間にわたって停止しました。通常診療の再開まで約2か月を要するなど、医療提供体制に深刻な影響が生じています。

薬局を狙ったサイバー攻撃の事例

海外では、薬局がサイバー攻撃により重大な被害を受ける事例が発生しています。2024年6月には、米国第3位のドラッグストアチェーン・ライト・エイドがランサムウェアの被害を受け、220万人分の顧客情報が流出しました。また、2024年4月にはカナダのドラッグストアチェーン・ロンドン・ドラッグスが攻撃を受け、西カナダ全域の約80店舗を約1週間閉鎖する事態となりました。国内の薬局における大規模被害の報道はまだ少ないものの、サイバー攻撃の脅威は薬局にとっても無関係ではありません。

薬局に求められるサイバーセキュリティ対策の義務化

サイバーセキュリティ対策が法令で義務化

医療機関へのサイバー攻撃の増加や診療停止事案の発生、個人情報の大規模流出リスクを受けて、薬局のサイバーセキュリティ確保が義務化されました。2023年4月1日施行の「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則の一部を改正する省令」において、薬局管理者の遵守事項として、サイバーセキュリティに関する必要な措置を講じることが明記されています。

ガイドラインとチェックリストの公開

薬局におけるサイバーセキュリティ確保のための措置については、最新版の「医療情報システムの安全管理に関するガイドライン」を参照し、サイバー攻撃への対策を含むセキュリティ全般への対応が求められています。さらに、2024年5月には厚生労働省が優先的に取り組むべき事項をまとめた「薬局におけるサイバーセキュリティ対策チェックリスト」を公開しました。

（参考：厚生労働省「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則の一部を改正する省令の施行等について（令和5年3月31日薬生発0331第14号厚生労働省医薬・生活衛生局長通知)」、「医療情報システムの安全管理に関するガイドライン」、「薬局におけるサイバーセキュリティ対策チェックリスト」）

これらのガイドラインやチェックリストについての詳細は、以下のコラムをご確認ください。

薬局BCPに求められる要件とひな形の活用

サイバー攻撃を想定したBCP策定の義務

「薬局におけるサイバーセキュリティ対策チェックリスト」では、インシデント発生への備えとして「サイバー攻撃を想定した事業継続計画（BCP）を策定している」というチェック項目が設けられています。2024年6月に厚生労働省から「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表」が示され、その解説として「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表のための手引き」も公開されています。

（参考:厚生労働省「【薬局用】サイバー攻撃を想定したBCP策定の確認表」）

日本薬剤師会が提供する薬局向けひな形

2024年7月、日本薬剤師会が薬局の事業継続計画策定を支援するため、「サイバーインシデント発生時の事業継続計画（BCP）薬局向け雛形」を作成・公開しました。これはあくまでひな形であり、各薬局の状況や実態に合わせて内容を調整する必要があります。しかし、ゼロから計画を策定する場合と比べて、このひな形を活用することで策定作業を効率的に進めることが可能です。

（参考：日本薬剤師会「サイバーインシデント発生時の事業継続計画（BCP）薬局向け雛形」）

ひな形を活用した自薬局向けBCPの作成方法

厚生労働省は2024年6月に「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表」を公開した際、主に病院を対象とした「医療情報システム部門等における事業継続計画（BCP）のひな形」もあわせて公開しました。日本薬剤師会の薬局向けひな形と病院向けひな形を比較すると、構成・目次はほぼ同じで、病院向けを基本にしながら薬局の実態に合わせた変更が加えられています。例えば「病院・医療機関」「診療継続」「経営者」といった用語を、「薬局」「薬剤師・薬局サービス継続」「開設者」に置き換えています。また、組織体制、業務内容、システムについても薬局を想定した内容に修正されており、システムが利用できなくなった際の代替手段やバックアップ方法の例示も薬局の実態を反映しています。
このように、日本薬剤師会のひな形は薬局特有の状況に配慮した内容となっており、各薬局のBCP策定を円滑に進める助けとなります。

このひな形をベースに、自薬局のシステム運用状況、ベンダーとの契約内容、実際の運用実態などを反映させることで、実効性のあるサイバーインシデント発生時のBCPを作成できます。

（参考：厚生労働省「医療情報システム部門等におけるBCPのひな形」）

実効性のある薬局BCP策定のポイント

策定時に注意すべきポイント

事業継続計画の策定では、実効性を確保するためにひな形に頼りすぎず、自薬局が主体となって必要な事項を整理し定めることが重要です。厚生労働省の「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表のための手引き」には、策定時の留意点が記載されています。
留意点のひとつとして、対象とすべきシステムを漏れなくリストアップすることが挙げられます。薬局向けひな形には、電子調剤録（電子薬歴）システム、会計システム（レセコン)、調剤機器システム、電子お薬手帳システムなどが記載されていますが、医療情報システムは患者の個人識別情報を含むすべての情報を扱うシステムを指します。そのため、患者情報を保有するコンピューター、遠隔で患者情報を閲覧・取得する端末なども対象に含まれます。自薬局の実態を踏まえてこれらを考慮し、各システムが利用不能になった場合の影響を検討した上で、業務継続のための代替手段を定めておく必要があります。
なお、東京都薬剤師会は、日本薬剤師会のひな形とは別に薬局向け雛形（都薬版）を作成し公開しています。この雛形では基本構成を維持しつつ、薬局に影響を及ぼす可能性のあるリスク（脅威）の記載例を強化し、作成のポイントをひな形内に明記するなど、より充実した内容となっています。事業継続計画の作成時には、厚生労働省の資料や日本薬剤師会のひな形に加えて、関係団体などが公開している手引きも適宜参照しながら進めることをおすすめします。

（参考：厚生労働省「サイバー攻撃を想定した事業継続計画（BCP）策定の確認表のための手引き」、東京都薬剤師会「サイバーインシデント発生時のBCP 薬局向け雛形（都薬版）」）

策定後の運用と見直しポイント

事業継続計画を策定した後は、まず全従業員への周知が欠かせません。計画内容や各自の役割を理解させ、緊急時の対応力を高めます。定期的な訓練も必要で、机上演習や実践訓練を通じて計画の実効性を確認し、改善点を明らかにします。
さらに、定期的な見直しも不可欠です。事業環境の変化、新たなリスクの発生、訓練で明らかになった課題などを反映し、常に最新で実効性のある計画として更新していきます。また、見直しの際には関連書類が増えすぎないように留意することも大切です。有事にBCPを発動する際、手順確認に時間がかかる事態を避けるためです。
こうした取り組みにより、組織全体の危機対応力が向上し、いざという時に迅速かつ効果的な対応が可能になります。

薬局BCP策定に関するQ&A

Q1. BCPとは何ですか？薬局にとって必要な理由は？

BCP（Business Continuity Plan＝事業継続計画）とは、災害やサイバー攻撃などの緊急事態が発生した際にも、重要な業務を継続または早期に復旧させるための計画です。薬局は地域医療を支える重要な役割を担っており、緊急時でも患者さんに必要な薬剤を提供し続けることが求められます。そのため、BCPの策定は患者さんの健康と安全を守る上で不可欠です。

Q2. 小規模薬局でもBCP策定は必要ですか？

はい、規模に関わらず全ての薬局でBCP策定が求められています。小規模薬局の場合、人員やシステムが限られているため、むしろインシデント発生時の影響が大きくなる可能性があります。規模に応じたシンプルな計画から始めて、徐々に充実させていくことが現実的です。

Q3. BCP策定後、どのくらいの頻度で見直すべきですか？

少なくとも年1回は定期的に見直すことが推奨されます。また、システム変更、組織体制の変更、新たな脅威の出現、訓練で明らかになった課題などがあった場合には、その都度見直しを行うべきです。BCPは作成して終わりではなく、継続的な改善が重要です。

まとめ

（参考：日本薬剤師会「医療情報システムの安全管理について」）