電子カルテのクラウド化、診断画像(DICOM)の外部保存、医事書類のデジタル管理。医療機関のファイル管理はクラウドへ移行しつつありますが、それと同時に医療機関を狙ったランサムウェア攻撃も増えています。クラウドストレージを医療現場で使う場合、機能の便利さより先に、厚生労働省・経済産業省・総務省が定める「3省2ガイドライン」への準拠を確認する必要があります。

医療機関がクラウドストレージを使う理由

診療録の保管義務は5年(歯科では10年の場合もあり)です。ファイリングキャビネットが診察室や倉庫を圧迫している診療所は多く、クラウドへ移行することで物理スペースと管理工数を同時に削減できます。

グループ診療や訪問診療では、スタッフが異なる端末・場所からカルテや指示書にアクセスします。VPN構成のオンプレミスサーバーより、クラウドストレージはアクセス経路の設計が柔軟で、拠点追加の際も設定負荷が小さいです。

BCP(業務継続計画)の観点も外せません。2021年に徳洲会グループの病院がランサムウェア攻撃を受け、電子カルテが2か月近く使用不能になりました。この事例以降、サイバー攻撃を想定したバックアップの整備は多くの医療機関で優先課題になっています。クラウドへのバックアップは、院内サーバーが感染・破損した際の復旧手段として機能します。

3省2ガイドラインとは

医療情報のクラウド利用に適用されるのが「3省2ガイドライン」です。

  • 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(令和5年5月):病院・診療所・薬局等が電子カルテや医療情報を管理・運用する際の指針
  • 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版」(令和7年3月改定):クラウドサービス事業者側に求められる要件

ガイドラインに準拠していないサービスへの医療情報の保存は、法的リスクを伴います。サービス選定の前に、事業者がどちらのガイドラインに対応しているかを確認してください。

クラウドストレージ選定の4つのチェックポイント

1. データの保管場所(国内リージョン)

ガイドラインは、医療情報を海外に保管する場合、その国の法律による捜査機関へのデータ開示要求など「国外法適用リスク」を評価するよう求めています。事実上、国内リージョンへの保管が安全です。

クラウドサービスを契約する前に「データセンターの所在地はどこか」を必ず確認してください。欧米リージョンのみ提供するサービスは、ガイドライン準拠の要件を満たしにくくなります。

2. 通信経路の暗号化(TLS)

医療機関とクラウドサービス事業者の間の通信はTLS(Transport Layer Security)で暗号化されている必要があります。ガイドラインはTLSの適切な設定を遵守事項として定めており、クライアント証明書による認証の検討も求めています。

具体的には、HTTPSによるファイルアップロード・ダウンロード、SFTPやWebDAVのTLS対応が最低限の要件です。

3. アクセス制御と多要素認証(MFA)

患者情報へのアクセスは、許可されたスタッフのみに限定する必要があります。クラウドストレージでは以下の機能が必須です。

  • ロールベースのアクセス制御:閲覧のみ・編集可能・管理者など、権限を細かく分ける
  • フォルダ単位の権限設定:診療科ごとや、患者グループごとのアクセス範囲を区切る
  • 多要素認証(MFA):パスワードだけでなく、認証アプリや物理デバイスを組み合わせる

ガイドラインは、電子カルテや患者情報へのアクセスにMFAを強く推奨しています。

4. ランサムウェア対策(イミュータブルバックアップ)

医療機関を狙ったランサムウェア攻撃は増加しています。ランサムウェアはネットワーク上の共有ドライブやクラウド同期フォルダも暗号化するため、単にクラウドに保存するだけでは不十分です。

有効な対策が「オブジェクトロック(イミュータブルストレージ)」です。一度保存したファイルを、指定期間は管理者でも削除・変更できない状態にロックする機能で、ランサムウェアに感染してもバックアップデータは守られます。

医療データセキュリティとクラウドストレージ保護のイメージ

監査ログの管理

ガイドラインは「誰がいつどのファイルにアクセスしたか」を記録する監査ログの整備を求めています。ログの保存期間は最低5年が目安です。

クラウドストレージを選ぶ際は、次の点を確認してください。

  • アクセスログのダウンロード・エクスポートができるか
  • ログの改ざんを防ぐ仕組みがあるか(ログそのものをイミュータブルに保管する)
  • 不正アクセスのアラート通知機能があるか

5年分のログを保管するため、ストレージコストも考慮が必要です。テキスト形式のログはファイルサイズが小さいため、クラウドストレージ側のコストは大きくなりませんが、サービスによってはログ保管に別途オプション契約が必要な場合があります。

HStorageでの医療機関向け活用例

HStorageの機能を医療現場での具体的なシナリオに沿って紹介します。

SFTPアクセスで既存システムと連携

電子カルテシステムや医療画像管理システム(PACS)は、ファイルのやり取りにSFTPを使うケースが多くあります。HStorageはSFTPアクセスをサポートしているため、既存システムの設定変更を最小限にしながらクラウドへのバックアップを実装できます。

# SFTPでバックアップを転送する例
sftp user@storage.hstorage.io
put /backup/2026-04-22-emr-backup.tar.gz

フォルダ権限で診療科・担当者を分ける

HStorageのフォルダ共有機能を使うと、診療科ごと・スタッフ個人ごとにアクセス権限を設定できます。

  • 内科チームのフォルダ → 内科スタッフのみ閲覧・編集可
  • 画像診断フォルダ → 放射線技師と担当医のみアクセス可
  • 医療事務フォルダ → 事務スタッフのみ書き込み可、医師は閲覧のみ

権限設定はメールアドレス単位で行えるため、スタッフが退職した際の権限剥奪も即時に対応できます。

期限付き共有リンクで外部への情報提供を安全に

患者情報を他の医療機関や保険会社などに提供する際、メール添付ではなく共有リンクを使うことで、誤送信リスクを減らせます。HStorageの共有リンクには次のオプションがあります。

  • ダウンロード回数制限:1回だけダウンロード可能にして使い回しを防ぐ
  • 有効期限設定:期限が切れると自動でアクセス不可になる
  • パスワード保護:リンクを知っていてもパスワードなしではアクセスできない

PPAP(パスワード付きZIPとパスワードを別メールで送る方式)の代替として、セキュリティを高めながら利便性を維持できます。

電子カルテバックアップのベストプラクティス

電子カルテのバックアップには「3-2-1ルール」が有効です。

  • 3つのコピー:本番データ + バックアップ2つ
  • 2種類の媒体:例えば院内NAS + クラウドストレージ
  • 1つはオフサイト:クラウドへの自動バックアップがこれを担う

クラウドへのバックアップは夜間の自動スケジュールで行い、バックアップが成功したかどうかを翌朝に確認する手順を運用に組み込んでください。復旧テストを年1回実施することもガイドラインで推奨されています。

薬局・クリニックでの具体的な使い方

薬局では、調剤録・薬歴・契約書類のデジタル保存に活用できます。薬歴の保存義務は3年ですが、クラウドに集約することで保管場所を確保しながら、必要なときに素早く検索・取り出しができます。

クリニック(開業医)では、特にスタッフが少ない環境でのIT管理が課題です。クラウドストレージは専任のIT担当者がいなくても運用できる点が強みです。患者への説明資料・問診票テンプレート・学会発表資料なども一元管理でき、院長のスマートフォンからでもアクセスできます。

まとめ:医療機関がクラウドストレージを選ぶ基準

選定時に確認すべき項目を表にまとめました。

チェック項目 確認内容
データ保管場所 国内リージョンか
通信暗号化 TLS(HTTPS/SFTP)に対応しているか
アクセス制御 フォルダ・ユーザー単位の権限設定が可能か
MFA対応 多要素認証を使えるか
監査ログ アクセスログを取得・保管・エクスポートできるか
バックアップ対策 ファイルの削除・変更からの復旧手段があるか
サポート 障害時に日本語でサポートを受けられるか

ガイドライン準拠のサービスを選び、アクセス制御・暗号化・バックアップの3点を設定すれば、医療情報管理の基盤は整います。

HStorageは国内リージョンでのデータ保管、SFTP/WebDAVアクセス、フォルダ単位のアクセス権限設定、パスワード付き共有リンクを提供しています。無料プランで試用して、現場の運用フローに合うかどうかを確かめてください。

医療機関でのHStorage導入についてご質問は、HStorageサポートまでお問い合わせください。

HStorage サポート事務局

HStorage サポート事務局

HStorage - https://hstorage.io のお客様対応や、メディアの運用をしています👸