【背景】令和5年3月厚生労働省は、医療法施行規則の一部を改正する省令を告示し、医療機関に対しセキュリティ確保のための諸要件を義務化した。また、医療情報システムの安全管理に関するガイドラインでは事業継続性の確保のため、IT-BCPの整備と復旧訓練の実施が求められている。【目的】国立がん研究センター東病院における、情報システム継続性を強化し、適切に維持管理をする事、そして病院情報システムが危機的情報セキュリティインシデントから円滑かつ迅速に復旧できるようIT-BCPを策定し、また訓練を行うことでその課題等を明らかにすることを目的とした。【方法】1.IT-BCPの策定：内閣サイバーセキュリティセンター(NISC)のガイドラインを参考に、電子カルテシステムを対象として、現状の調査及びリスク評価を行い、事業継続計画（BCP）として策定を行った。2.訓練の実施：策定したIT-BCPに基づき、サイバー攻撃を想定したシナリオを作成し、システムベンダーと医療情報部で机上訓練を行った。【結果】IT-BCPの策定過程で、現状のシステム構成のリスクや課題が顕在化した。また、訓練では、IT-BCPの記載内容に関わる課題、および実際の運用継続に関わる複数の課題が明確になった。【考察・結語】当院ではIT-BCPは初版であり、サイバー攻撃を想定した訓練も初めてであった為小規模な机上訓練としたが、今後は参加メンバーを広く選定し、実践的な訓練も行う必要があると考える。また、本IT-BCP策定から訓練実施を契機としたシステムベンダーとのリスクコミュニ―ションが、危機的情報セキュリティインシデントからの円滑な復旧のみならず、病院情報システムの適切な維持管理に寄与すると考えられる。