厚生労働省が「医療情報システムの安全管理に関するガイドライン」を改定し、令和8年6月に第7.0版が示されました。全国訪問看護事業協会も、このガイドラインの対象には訪問看護ステーションが含まれるとして注意喚起を行っています。
電子カルテや訪問看護記録システムを利用しているステーションであれば、規模の大小を問わず今回の改定内容の確認が必要です。この記事では、第7.0版で何が変わったのか、訪問看護ステーションとして今すぐ何をすべきかを整理します。
- 「医療情報システムの安全管理に関するガイドライン第7.0版」がいつ・どこで示されたか
- パスワード運用・二要素認証・保守委託機関編など、主な改定内容
- 訪問看護ステーションの電子カルテ・記録システム運用への影響
- 今から確認・対応しておくべき実務ポイント
目次
何が決まったのか(ニュースの概要)
厚生労働省は、医療情報システムのセキュリティ対策の指針となる「医療情報システムの安全管理に関するガイドライン」について、第7.0版(令和8年6月)を公表しました。厚労省の「健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ」で示された資料によると、経緯は次のとおりです。
- 令和5年5月:前回改定(第6.0版)。ガイドライン全体を「概説編」「経営管理編」「企画管理編」「システム運用編」の4編構成に再編
- 令和7年3月:第6.1版(案)を公表
- 令和7年3月27日〜4月17日:パブリックコメントを実施し、294件の意見を収集
- 令和8年5月29日:第32回ワーキンググループで「第7.0版(案)」を提示。パブリックコメントを反映して整理
- 令和8年6月:第7.0版として正式に改定・公表
全国訪問看護事業協会は令和8年7月3日付で、このガイドラインの対象には訪問看護ステーションが含まれる旨を会員向けに案内しています。

「医療情報システム」というと病院や診療所の話に聞こえるかもしれませんが、電子カルテや訪問看護記録ソフトを使っている時点で、私たち訪問看護ステーションもこのガイドラインの対象になるんですね。
内容の詳細
今回の改定は、国が定める重要インフラ向けのセキュリティ指針の改定や、クラウド型電子カルテの普及推進といった制度的な動きに加え、単純なパスワードの使い回しによるサイバー被害の発生といった技術的・社会的な背景を踏まえたものです。主な改定内容は次の3点です。
| 改定項目 | 内容 |
|---|---|
| パスワード要件の変更 | 使い回しの禁止、アカウントロックの導入を追記。一方で、セキュリティ強化につながらないとされる「定期的な変更」の要件は削除 |
| 二要素認証の対象明確化 | 医療情報システムのうち、クライアント端末およびサーバについて二要素認証に対応することを明確化。令和9年4月1日時点で対応が困難な場合は、次期システム改修時での対応を許容する緩和措置あり |
| 保守委託機関編の新設 | セキュリティ専門人材が不足する小規模医療機関等を想定した「医療機関等保守委託機関編」を新設。すべてのサーバ(サーバ機能を果たすPC等の端末を含む)のセキュリティアップデートを委託(クラウドサービスの利用を含む)している場合、この編を遵守することで他の編の遵守もみなされる |
二要素認証については、医療機器そのものへの適用は今回見送られ、対象範囲の議論を含めて第7.1版に向けて継続検討とされています。また、情報が海外サーバーに保存されるケースの扱いについても、今後の課題として整理が続く見込みです。
訪問看護ステーションへの影響
今回の改定は病院・診療所だけでなく、電子カルテや訪問看護記録システムを利用する訪問看護ステーションの運営にも直接関わります。特に押さえておきたいのは次の3点です。
パスワード運用ルールの見直しが必要
「3か月ごとにパスワードを変更する」といった社内ルールを設けているステーションは、今回のガイドラインでは定期変更が推奨事項から外れたことを踏まえ、運用の見直しを検討できます。一方で、パスワードの使い回し禁止とアカウントロックの導入は、より明確に求められるようになりました。
電子カルテ・記録システムの二要素認証対応
訪問看護記録システムへのログインや、外出先からのリモートアクセスに二要素認証を導入しているか、あるいは導入予定かは、利用中のベンダー・システムによって差があります。対象がクライアント端末・サーバの双方と明確化されたため、令和9年4月1日を一つの目安として対応状況を確認しておく必要があります。
IT担当者がいなくても対応の道筋ができた
専任のIT担当者を置けない小規模ステーションにとって、新設の「保守委託機関編」は追い風です。電子カルテ・記録システムのベンダーにサーバのセキュリティアップデートを委託している場合、その委託関係を保守委託機関編に沿って整理することで、ガイドライン対応の負担を軽くできる可能性があります。

「うちはITに詳しい人がいないから無理」と身構えなくても大丈夫です。まずは記録システムのベンダーさんに「うちは保守委託機関編の対象になりますか?」と聞いてみるところから始めましょう。
今からやるべき実務対応
- 利用中のシステムのベンダーに確認する電子カルテ・訪問看護記録システムの二要素認証への対応状況と、対応予定時期を問い合わせる。
- パスワード運用ルールを見直す「定期的な変更」を義務づけている社内規程があれば見直しを検討し、使い回し禁止・アカウントロックの運用を徹底する。
- 委託契約書・SLAを確認するサーバのセキュリティアップデートを誰が担っているか(自社か委託先か)を契約書や運用体制で確認し、保守委託機関編の対象になりうるか整理する。
- 令和9年4月1日を見据えたスケジュールを立てる二要素認証対応が間に合わない場合は、次期システム改修のタイミングをベンダーと共有し、対応計画を文書化しておく。
- 厚労省の公表資料を職員間で共有する管理者だけでなく、記録システムを日常的に使う職員にも改定のポイントを周知し、パスワード管理の意識を底上げする。
よくある質問
訪問看護ステーションも今回のガイドラインの対象になりますか?
はい。全国訪問看護事業協会の案内でも、ガイドラインの対象には訪問看護ステーションが含まれると明記されています。電子カルテや訪問看護記録システムなど、医療情報を扱うシステムを利用していれば、規模の大小を問わず対象になります。
二要素認証はいつまでに対応が必要ですか?
原則として令和9年4月1日までの対応が想定されていますが、対応が間に合わない医療機関等については、次期システム改修のタイミングでの対応も許容される緩和措置が設けられています。まずは利用中のシステムのベンダーに対応スケジュールを確認することをおすすめします。
IT担当者がいない小規模なステーションはどう対応すればいいですか?
今回新設された「医療機関等保守委託機関編」は、まさにそうした事業所を想定した内容です。サーバ機能を果たす端末を含め、セキュリティアップデートをすべて委託(クラウドサービスの利用を含む)している場合、保守委託機関編を遵守することで他の編の項目も遵守しているとみなされる仕組みです。委託先ベンダーに契約内容を確認しましょう。
パスワードは今までどおり定期的に変更した方がよいのでしょうか?
第7.0版では、セキュリティ強化につながらないとして「定期的な変更」の要件が削除されました。代わりに、パスワードの使い回し禁止とアカウントロックの導入がより重視されています。定期変更を義務づける社内ルールがある場合は、見直しを検討してよいでしょう。
まとめ|まずはベンダーへの確認と社内ルールの見直しから
医療情報システムの安全管理に関するガイドライン第7.0版は、訪問看護ステーションにとっても他人事ではない改定です。二要素認証や保守委託の扱いなど、システムベンダーとの連携が対応のカギになります。
- 厚労省が「医療情報システムの安全管理に関するガイドライン第7.0版」を令和8年6月に公表。訪問看護ステーションも対象
- パスワードの「定期変更」要件は削除、使い回し禁止・アカウントロックの導入を明記
- 二要素認証はクライアント端末・サーバが対象と明確化。令和9年4月1日を目安に対応(緩和措置あり)
- 小規模事業所向けに「医療機関等保守委託機関編」を新設。ベンダーへの委託状況の確認が重要
まずは利用中の電子カルテ・訪問看護記録システムのベンダーに問い合わせ、対応スケジュールを確認するところから始めましょう。



















