厚生労働省が2026年6月に公表した「医療情報システムの安全管理に関するガイドライン第7.0版」において、医療機関は国家の重要インフラとして明示的に定義されました。サイバーセキュリティ基本法が根拠法に追加されたことにより、セキュリティ対策はシステム部門の技術的課題にとどまらず、病院経営の継続性を担保するための重要課題となっています。
一方で、深刻なIT人材不足という構造的課題に対応するため、ガイドラインでは外部委託やクラウド活用を適切に管理・選定することで、要件への適合とみなす柔軟な枠組みも整備されています。常勤の放射線科医が不足している施設において、外部へ読影を委託する遠隔読影サービスを導入する際にも、このガイドラインに定められた要件を正しく把握し、運用に組み込むことが求められます。
参照元:厚生労働省「医療情報システムの安全管理に関するガイドライン第7.0版(概説編)」(https://www.mhlw.go.jp/content/10808000/001716290.pdf)
遠隔読影を導入するにあたり、多くの医療機関において「実務上の適合手段」が課題となっています。近年のランサムウェア被害の甚大化に伴う診療停止リスクを抑制しつつ、日常の医療提供体制を維持しなければなりません。また、外部委託を行うにあたっては、委託先事業者と自院との間でどのように責任を切り分けるべきかという法的・契約的な整理の進め方についても、具体的な基準を設ける必要があります。
外部への遠隔読影を委託する際、医療機関および遠隔読影システム提供事業者に課される技術的・運用的要件は厳格化されています。主な要件として以下の点が挙げられます。
2027年度(令和9年度)時点で稼働している医療情報システムを対象に、原則として二要素認証の採用が義務付けられています。第7.0版ではその対象範囲が明確化され、クライアント端末およびサーバーが対象となりました。医療情報の保存や主要な処理を担う機器(電子カルテやPACSなど)だけでなく、データをローカルにキャッシュして処理する特殊な画像表示端末についても、実質的にサーバーと同等の管理が求められます。ただし、即時の対応が困難な場合は、次期システム更改時の実装を許容する緩和措置が設けられています。
単純な認証情報を狙った攻撃に対応するため、パスワードの使い回し禁止や、一定回数のログイン失敗によるアカウントロック機能の導入が求められます。一方、従来慣行として推奨されてきた定期的なパスワード変更は、かえって脆弱なパスワードの設定を招くとして要件から削除されました。また、不要なアカウントの削除や管理者権限の最小化も必須要件となっています。
遠隔読影を行う通信経路においては、不審な接続を検知・遮断する仕組みが必要です。システム運用においては施設認証、利用者認証、依頼者認証といった多重のアクセス制御を施し、無権限の職員が不要な患者情報に触れられない環境を構築しなければなりません。また、不正アクセス発生時の追跡を可能にするため、接続履歴や操作履歴はアクセスログとして確実に保存・管理される必要があります。
日本医学放射線学会の遠隔画像診断ガイドラインに基づき、病院外のPACSやクラウドサーバーに画像を転送・保存する場合、個人情報が外部で取り扱われることになるため、患者への説明と周知の手続きが必要です。医療機関は院内掲示等を通じて、診療情報が外部に保存されている旨、および委託先職員が参照することを患者に周知する必要があり、明示的な留放がない限りは黙示の同意(オプトアウト)が得られたものと解釈されます。
参照元:日本医学放射線学会「遠隔画像診断ガイドライン」(https://www.radiology.jp/content/files/guideline_20240411.pdf)
遠隔読影に従事する医師は、医療機関外にあっても専門家としての善管注意義務を負います。読影の過失などにより患者に対して不法行為責任(民法第709条)を負う場合があるほか、委託を受けた主治医に対して契約上の責任(民法第415条など)を別途負う可能性があります。これらを予防するため、日本医学放射線学会が提供する医療の質に関する必須講習の受講やセキュリティ教育の履修が学会基準において義務付けられています。
医療情報システムを外部委託するにあたり、最も重要な遵守事項の一つが責任分界の書面による明確化です。ガイドライン第7.0版では、医療機関がすべてを事業者任せにすることを禁じており、委託先が適切な管理を行っているかを管理監督する最終的な責任は医療機関側に残ることを強調しています。
このガバナンス体制を実務的に担保する手段として、製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)が位置付けられています。MDS/SDSは、厚生労働省標準規格「HS040」として正式に認定されているフォーマットです。医療機関は事業者からこのセキュリティ開示を受け、二要素認証の実装状況やパッチ適用の責任、リモート接続時の暗号化通信方式などを評価・確認する必要があります。
参照元:JAHIS「MDS_SDS Ver.5.0 Q&A集」(https://www.jahis.jp/files/user/04_JAHIS%20standard/MDS_SDS%20Ver.5.0%20Q%EF%BC%86A%E9%9B%86(%E7%AC%AC7%E7%89%88).pdf)
MDS/SDSによる適合性を評価したうえで、障害発生時の死滑監視、接続ログの保管範囲、およびデータの所有権や管理権限の範囲を責任分界点として書面で明確に取り決め、具体的なSLA(サービスレベル合意)を含めた拘束力ある契約を結ぶことが求められます。
遠隔読影サービスを導入する際、医療機関が注意すべき財務的・実務上のリスクが、診療報酬における遠隔画像診断管理加算の算定ルールです。
原則として、送信側または受信側の保険医療機関が、それら以外の施設(民間事業者など)に読影または診断を委託した場合、その医療機関においては全例に遠隔画像診断管理加算が算定不可となる制約(全例不可ルール)が存在します。したがって、外部の遠隔読影サービス事業者に画像診断を委託している場合、その委託案件については画像診断管理加算の施設基準を満たさなくなるため、算定を外す必要があります。
しかし、2026年度(令和8年度)の診療報酬改定において、この制限に緩和措置が講じられました。改定により「画像診断管理加算2(一部委託を行う場合):166点」が新設されています。これは、所定の施設基準を満して届け出た保険医療機関間で遠隔画像診断を行うことを条件として、自院が実施するCTおよび核医学診断のうち、「2割以下」に抑えた範囲において外部の他の保険医療機関(民間企業ではない)に読影を委託することを認めるものです。この新設枠を利用すれば、自院の常勤専門医の負担を軽減しながら、一部を他院に遠隔依頼しつつ、166点の加算を維持することが可能となっています。
また、時間外や休日における緊急読影の自宅読影特例に関する時間要件も存在します。この特例は、自院において常態として「週3日以上かつ週22時間以上」の勤務を行っている専ら画像診断を担当する医師が、勤務時間以外の時間帯に自宅から適切な装置を用いて読影し、文書報告を行うことを管理者が把握している場合に、常勤換算を維持して加算算定を認めるものです。この時間要件(週22時間以上)は、医師の働き方改革や柔軟な勤務形態の確立を支援する目的で、2020年度(令和2年度)の改定において従来の週24時間以上から緩和された経緯があります。
医療機関の規模や情報システム部門の有無によって、ガイドラインへの適合に向けたシステム選定のアプローチは異なります。
専任のIT担当者がいないクリニック等の小規模医療機関においては、日々のアップデートやパッチの適用、巧妙化するサイバー攻撃の監視を自前で行うことは困難です。このような施設に対応するため、第7.0版では「保守委託機関編」が新たに策定されました。
この枠組みにより、クリニックが適切なクラウドサービス(SaaS/IaaSなど)を採用し、システム運用や保守を専門事業者に委託している場合、その委託内容(MDS/SDSでの確認等)をもってガイドラインの他編の一部要件を満たしているものとみなす「みなし適用」のルールが導入されました。これにより、クリニックは自前で高額なインフラを構築するのではなく、信頼できる外部のクラウド事業者や監視サービスを適切に選定・管理することが適合ルートとなります。
初期費用や月額固定費用を抑え、依頼した分だけの従量課金で運用したいクリニックや中小規模の病院にとっては、こうした固定費の負担が少ないクラウド型システムが有力な選択肢となります。事業者から提供されるMDS/SDSの確認結果を記録することで、行政監査や立ち入り検査時にも適法なシステム管理状況を証明できる体制を構築できます。
参照元:厚生労働省「医療情報システムの安全管理に関するガイドライン第7.0版(保守委託機関編)」(https://www.mhlw.go.jp/content/10808000/001716297.pdf)
専任のシステム部門を有する大規模病院においては、電子カルテ、PACS、RIS、および遠隔読影システムが複雑に入り組むマルチベンダー環境が一般的な課題となります。大規模病院のシステム選定においては、シングルサインオン(SSO)を活用して複数システムの認証を一元管理し、すべてのシステムに横断的に二要素認証を適用できること、さらには各事業者との間で詳細な接続経路やアカウント管理に関する厳密な運用管理規程を策定することが求められます。
災害対策(BCP)やデータの多重保管を重視し、専用機器の貸与や現地での設置・操作指導などの手厚いオンサイト保守を求める場合は、耐震・災害対策が施された堅牢なデータセンターを基盤とし、閉域網接続に対応したサービスが検討対象となります。また、夜間や休日の当直医体制の課題解決として迅速なスピード返却を必要とする場合は、所属する登録医数が多く、24時間体制のオペレーションセンターを構築している大規模プラットフォーム型のサービスが選択肢に挙がります。
医療情報システム安全管理ガイドライン第7.0版への適合は、サイバー脅威から病院経営の継続性を守るための重要な経営防衛策です。遠隔読影サービスを導入する際は、単にコスト比較だけでなく、二要素認証への対応状況やMDS/SDSの開示体制、自院のITリソース(専任担当者の有無)や求める加算算定の有無に見合っているかを総合的に評価する必要があります。
自院に常勤の診断専門医が在籍し、一部の業務を外部に委託しつつ加算(画像診断管理加算2)を維持したい場合は「医療機関間連携型」の体制構築が必要となり、常勤専門医が在籍しておらず、読影体制の確保やレポート品質の向上を最優先とする場合は「企業委託型」の民間事業者のクラウドシステムを導入するのがスムーズです。自院が求める要素を明確にした上で、各社のサービススペックを客観的に比較検討することが推奨されます。
読影の見落としを防ぐためには?
患者に正しい診断結果を届ける
読影専門メディアを見る
※外部サイトに飛びます。

重要所見を見落とす主な原因と防ぐ方法を解説しているほか、遠隔画像診断サービスにより重要所見を拾い上げられた事例を掲載しています。
一般社団法人遠隔画像診断サービス連合会(ATS)に所属する企業委託型の遠隔画像診断サービスを対象として調査を実施(※1)。遠隔画像診断サービス選びにおいて欠かせない「品質・信頼性」「セキュリティ」「対応時間」という3つのポイント別に、おすすめの遠隔画像診断サービス提供企業を紹介しています。

部位・スライス加算がないため
質の高い診断で人手不足を補う。
診断結果へのアフターフォローも充実。
初期・月額費用も0円。

保健医療分野のPマーク取得企業(※2)
東西のデータセンターにて画像を保管

読影依頼・当日返却の要望に
24時間365日対応できる体制を構築
調査時期:2022年11月~12月時点/下記条件に沿って調査・選定
調査対象:一般社団法人遠隔画像診断サービス連合会(ATS)に所属する正会員55社のうち、公式HPにて遠隔画像診断サービスの詳細を確認できた27社(病院連携型を除く)
【選定条件】
(1)品質・信頼性:調査対象の中で、二次読影とレポートチェックを実施しており、登録読影医の個別情報(経験年数・資格・領域等)を唯一公開していたワイズ・リーディング
(2)セキュリティ:調査対象の中で、保健医療分野のプライバシーマーク(MEDIS)取得情報と、データセンターの多重拠点化情報(災害対策)を唯一確認できたセコム医療システム
(3)対応時間:調査対象の中で唯一、遠隔画像診断の依頼受付・当日返却を24時間・365日体制で実施している情報を確認できたドクターネット