2027年義務化対応｜クリニックが今すぐ始める二要素認証の導入ステップ

2027年、あなたのクリニックの電子カルテは義務化に対応していますか？

「うちのクリニックは小さいから関係ない」——こう思っているクリニックに、今すぐ知ってほしいことがあります。厚生労働省のガイドラインにより、2027年度（令和9年度）時点で稼働している医療情報システムは、原則として二要素認証の採用が必須となります。

対象は大病院に限りません。無床診療所・クリニック・薬局・訪問看護ステーションも含まれます。専任のIT担当者がいない小規模クリニックでも、計画的な準備が必要です。本記事では、対象となるシステムの範囲・放置した場合のリスク・クリニックの現場に合った低コストな対応方法を、わかりやすく解説します。

二要素認証の義務化とは——どのシステムが対象になるのか

根拠となるガイドラインと対象範囲

厚生労働省が定める「医療情報システムの安全管理に関するガイドライン（第6.0版）」において、2027年度に稼働していることが想定される医療情報システムを今後導入・更新する場合、原則として二要素認証を採用することが求められると規定されています。

ここでいう「医療情報システム」とは、特定のソフトウェア一製品だけを指すのではありません。患者データを取り扱い、ネットワークやサーバーに接続されているシステム全般が対象です。

具体的に対象となるシステムの例

• 電子カルテシステム（患者の診療記録の入力・管理）
• レセプトコンピューター（診療報酬明細書の計算・請求）
• オーダリングシステム（検査・投薬指示の管理）
• PACS等の医療用画像管理システム
• 調剤システム・臨床検査システム
• オンライン資格確認端末（マイナンバーカード対応）
• 予約管理・Web問診システム（患者の個人情報を含む場合）

つまり、メインの電子カルテだけでなく、患者データを扱いネットワークに接続されているすべてのシステムが広く対象となります。クラウド型・オンプレミス型を問いません。現在ご利用中のシステムがどれに該当するかを、ベンダーに確認しておくことが重要です。

なぜ今、義務化されるのか

近年、医療機関を狙ったランサムウェアなどのサイバー攻撃が急増しています。2021年の徳島県の病院、2022年の大阪府の病院など、電子カルテが使えなくなり診療が数週間にわたって停止した事例は記憶に新しいでしょう。

従来のIDとパスワードだけでは、なりすましや不正アクセスを防ぐことが困難になっています。特にVPN経由のリモートアクセスは攻撃の入り口として狙われやすいため、「入り口で確実に本人確認する」手段として二要素認証の普及が急務とされています。

放置した場合のリスク——「罰則なし」は安心できない理由

ガイドライン自体に「導入しなければ罰金〇万円」という直接的な罰則規定はありません。しかし、だからといって対応を後回しにすると、以下のような深刻なリスクに直結します。

① 個人情報保護法違反——最大1億円の罰金

患者の病歴・治療内容・検査結果は「要配慮個人情報」として、法律上もっとも厳格な管理が求められるデータです。ガイドラインに従わないままセキュリティ対策を怠った結果、情報漏えいが発生した場合、安全管理措置義務違反として最大1億円の罰金が科される可能性があります。

② ランサムウェア被害——診療停止と数千万円の復旧費用

ランサムウェアに感染すると、電子カルテを含む院内システムが一斉に使えなくなります。紙カルテへの切り替えで現場は大混乱となり、救急受け入れの停止・予約の全キャンセルといった事態に陥ります。システムの再構築・調査・患者対応を含めた復旧費用は、数千万円から数億円規模になるケースが国内でも報告されています。

③ 患者離れと社会的信用の失墜

「セキュリティが甘いクリニック」として報道されると、患者離れは避けられません。また、医療法の「医療安全体制の整備義務」違反とみなされると、都道府県・保健所から業務改善命令を受けるリスクもあります。地域医療を担うクリニックにとって、社会的信用は経営の根幹です。

小規模クリニックに合った二要素認証の選び方

「スタッフが手袋をしていて認証できない」「ログインに時間がかかると患者さんを待たせてしまう」——医療現場には特有の課題があります。現場の業務フローを止めない認証方式を選ぶことが、導入成功のカギです。

受付・会計端末（複数スタッフが共有するケース）

受付では複数の医療事務スタッフが1〜2台のパソコンを頻繁に交代しながら操作します。このケースに適しているのがICカード認証＋PINコードの組み合わせです。

交通系ICカードや専用スタッフカードをリーダーに「ピッ」とかざし、短い暗証番号を入力するだけで瞬時にログインできます。席を立つ際にカードを抜けば自動でロックされる設定にすれば、ログイン忘れや共有端末でのなりすましも確実に防ぐことができます。

診察室端末（医師が電子カルテを操作するケース）

診察中はマスクや手袋を着用している場面も多く、スマートフォンを取り出す余裕もありません。このケースに適しているのがマスク対応の顔認証（またはパスワード＋指静脈認証）です。

端末のカメラに顔を向けるだけで1つ目の認証が完了します。最近はマスク着用時でも高精度に識別できる顔認証システムが普及しており、診察のテンポを乱しません。端末内蔵カメラや比較的安価な外付けWebカメラで対応できるケースも増えています。

院外からのリモートアクセス（往診・在宅時のクラウドカルテ閲覧）

往診先でタブレットからカルテを確認したり、休日に院内ネットワークへVPN接続したりするケースは、サイバー攻撃の入り口として最も狙われやすいポイントです。

このケースにはスマートフォンアプリ（ワンタイムパスワード）＋パスワードの組み合わせが低コストで効果的です。数十秒ごとに変わる6桁のコードをアプリで確認して入力するだけで、追加の専用機器なしに高いセキュリティを実現できます。Google AuthenticatorやMicrosoft Authenticatorは無料で利用できます。

2027年に向けた対応ステップ——3つのアクション

ステップ1：使用中のシステムがガイドライン対象かを把握する

まず、院内で稼働しているシステムの一覧を作成し、患者データを取り扱うネットワーク接続システムをリストアップします。電子カルテだけでなく、予約システム・レセコン・Web問診ツールも含めて確認しましょう。

次に、現在の認証方式（IDとパスワードだけか、すでにMFAが設定されているか）を各ツールごとに確認します。多くのクラウド型サービスは管理画面の設定でMFAを有効にできます。

ステップ2：電子カルテベンダーに2027年対応状況を問い合わせる

現在ご利用中の電子カルテシステムが二要素認証に対応しているか・対応予定があるかを、ベンダーに直接確認することが次のアクションです。多くのベンダーがすでに対応ロードマップを持っており、次期バージョンアップで標準搭載されるケースもあります。

「ガイドラインの第6.0版への対応方針はありますか？」と問い合わせると、ベンダー側も回答しやすくなります。

ステップ3：現場の業務フローに合った認証方式を選定・設定する

ベンダーの対応状況を踏まえ、現場別の認証方式を選定し、設定・運用ルールを整備します。全端末を同じ方式にこだわる必要はなく、用途に応じて最適な方法を組み合わせることが現実的です。

なお、設定の際は「スタッフが認証に手間取って患者対応が遅れる」リスクを避けるため、設定後に実際の業務フローで動作確認を行うことをおすすめします。

まとめ：2027年の期限を、セキュリティ整備のきっかけに

2027年の義務化対応は「コンプライアンス上の義務」であると同時に、ランサムウェアや情報漏えいから患者さんと診療を守るための重要な投資です。小規模クリニックでも、現場の実態に合った方法を選べば、大きなコストをかけずに対応できます。

「どのシステムから手をつければいいかわからない」「ベンダーへの問い合わせ方がわからない」という場合は、IT専門家への相談が最も効率的です。期限まで時間はありますが、システムの更新タイミングに合わせて計画的に進めることが重要です。

back-tなら、クリニックの二要素認証対応をまるごとサポートします

back-tの情シスプラン（月額8万円〜）では、パスワード・多要素認証の設定サポートからシステム棚卸し・ベンダー調整まで、IT担当者不在のクリニックに代わって対応します。「自院のシステムが対象かどうかを確認したい」というご相談も歓迎です。
まずは30分の無料相談からどうぞ。相談・見積もりは完全無料です。

無料で相談する →