医療法施行規則第14条第2項が新設され令和5年4月より施行された。これにより医療機関の管理者はサイバーセキュリティの確保について必要な措置を講じなければならないとされている。また、医療法の規定による立入検査要綱の項目にサイバーセキュリティ対策への取組み状況を確認することが追加されている。医療機関で取組む対策は様々であるが、優先的に取組むべき事項として厚生労働省より「医療機関におけるサイバーセキュリティ対策チェックリスト」及び「医療機関におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関・事業者向け~」が示されている。チェックリストは、令和5年度中と令和6年度中までに取組む内容が医療機関向け用と事業者向け用に作成されている。マニュアルにはチェックリストの利用方法や、「医療情報システムの安全管理に関するガイドライン」の参照するべき項目が示されており、医療機関で活用しやすいように作成されている。チェックリスト項目において、令和6年度中までにサイバー攻撃を想定した事業継続計画（BCP）の策定が求められている。医療機関におけるBCPの策定は、災害拠点病院等を中心に策定が進んでおり、サイバーインシデントを含めたBCP策定にも取組んでいる医療機関がある。一方では、厚生労働省の調査では、回答施設の内70%以上の病院で、定期的な緊急対応手順を訓練していないと回答しており、BCPに基づいた訓練については取組みが進んでいない実情が明らかとなった。サイバーインシデントを想定したBCP策定では、重要業務の選定や意思決定プロセスにおける基準設定およびその業務に関連する情報システムの復旧手順整備など、医療機関の経営層からシステム運用担当者レベルまでの連携が重要と考えている。さらには、策定から訓練と見直しなどBCPをブラッシュアップすることへの取組みも忘れてはならないポイントである。