医療機関を対象とするサイバー攻撃は年々複雑化し、事業停止や診療の一時中断につながる事例も確認されています。
こうした背景を踏まえ、厚生労働省は2024年3月に「医療情報システムの安全管理に関するガイドライン（第6.0版）」を公表しました。

そして、このガイドライン（2024年版）では、2027年度（令和9年度）に向けた明確な方向性が示されています。

この文言が示す意味は、
2027年度以降新規導入・更新される医療システムでは、原則として二要素認証を実装することが求められるということ。
法的義務ではありませんが、今後のセキュリティ標準（デファクトスタンダード）として広く定着する可能性が高く、
ベンダーや医療機関にとって2026年度中の方針決定が実質的な対応の分岐点となります。

特に、電子カルテや部門システムの多くが2025〜2027年度に更新サイクルを迎えるため、
「更改の波」が業界全体に訪れる時期でもあります。
つまり2026年度は、“どの段階で二要素認証に移行するか”を現実的に決める年と言えます。

1. まず着手すべき3つの準備

• ①対象システムの棚卸し（電子カルテ、部門システム、VPN / VDI、クラウド、保守回線等）
• ②認証方針の策定（二要素認証をどこで実現するか：各システム／統合認証／物理入室等の併用）
• ③保守アクセス統制（外部保守の権限・ログ・接続手順を「ルール」と「仕組み」で整える）

この3点を明確化することで、製品選定ではなく「ガイドライン要件に基づいた整備計画」として検討を進めやすくなります。

2. ガイドライン6.0版の位置づけと実務影響

ガイドライン6.0版は法令ではありませんが、医療法施行規則に基づく「安全管理措置」の詳細指針として位置付けられています。
自治体の立入検査や指導の場面ではチェックリスト確認が行われるケースもあり、
形式上は任意であっても、実務的には「説明できる体制」を整えておくことが求められます。

3. 二要素認証と保守アクセス、つまずきやすい2つの論点

4. 実装例：GMOトラスト・ログインでの運用支援

※ガイドライン適合を直接保証するものではありません。

• ●SSO（シングルサインオン）でログイン管理を一元化
• ●MFA（二要素認証）を横串で適用し、入口での認証を強化
• ●アクセスログを集中管理し、監査時の証跡提出を容易に
• ●退職・委託先アカウントの適正管理を支援

これにより、現場の利便性を保ちながら「説明可能な統制体制」を段階的に構築できます。

5. よくある質問

まとめ：2027年の「更改の波」に備えるための一年

2027年度は、厚労省ガイドライン第6.0版が示す新たな安全管理基準が、医療機関とベンダ双方の“共通前提”となる年です。
2026年度は、「どのシステムを、どの方法で強化するか」を方針として明文化し、
二要素認証・アクセス統制・ログ整備といった基盤対応を計画に落とし込む時期にあたります。