近年、医療機関を標的としたサイバー攻撃は激化しており、ひとたび被害に遭えば診療停止や患者情報の流出といった甚大なリスクを招きます。これを受け、2026年度の診療報酬改定では、医療機関のセキュリティ対策を「単なるコスト」ではなく、健全な経営と患者の安全を守るための「必要な投資」として位置づける方針が鮮明になりました。
今回の改定の目玉は、これまでの「医療DX推進体制整備加算」の大幅な拡充と、サイバーセキュリティ対策の義務化に伴う新たな評価体系の構築です。本記事では、クリニックが直面する具体的な算定要件の変更点から、導入コストを軽減する補助金の活用法、そして監査をパスするためのBCP(事業継続計画)策定まで、実務に直結する情報を網羅的に解説します。
目次
2026年度診療報酬改定の全体像:セキュリティ対策が「投資」へ変わる理由
2026年度改定において、セキュリティ対策が重視される背景には、医療DXの進展とそれに伴うリスクの増大があります。国は「医療DX令和ビジョン2030」に基づき、全国医療情報共有プラットフォームの構築を急いでいますが、その基盤となるのは個々の医療機関の強固なセキュリティです。
これまでは「対策をしても点数がつかない」という不満もありましたが、今改定では「対策を講じている施設を適切に評価する」というフェーズに移行しました。つまり、セキュリティへの投資が直接的に診療報酬の増分として還元される仕組みが整ったのです。
拡充された「医療DX推進体制整備加算」の算定要件と3つの変更点
今回の改定で最も注目すべきは、従来の医療DX推進体制整備加算が、より実効性の高い内容へと進化を遂げた点です。単にオンライン資格確認を導入しているだけでは不十分となり、情報の「活用」と「保護」の両立が厳格に求められるようになりました。
主な変更点は、以下の3つのポイントに集約されます。
オンライン資格確認から一歩進んだ「電子処方箋・情報共有」の評価
これまではオンライン資格確認の導入が主眼でしたが、2026年度からは「電子処方箋」の発行体制および「電子カルテ情報共有サービス」の活用が必須要件、あるいは上位区分の算定条件に組み込まれました。
- 電子処方箋の普及:リアルタイムでの重複投薬チェックや副作用防止を目的とし、発行実績が問われます。
- 情報共有サービスの活用:救急時や転院時に、患者の同意を得た上で速やかに診療情報を参照できる体制が評価されます。
これにより、患者にとっては「どこでも安全な医療を受けられる」メリットがあり、クリニックにとっては「質の高い診療」を報酬面で裏支えしてもらえるメリットが生じます。
サイバーセキュリティ対策の義務化と「オフラインバックアップ」の厳格化
近年のランサムウェア被害の教訓から、データの「オフラインバックアップ」の有無が算定の生死を分けるポイントとなりました。ネットワークから完全に切り離された状態でデータを保存していることが、施設基準として明文化されています。
| 対策項目 | 具体的要件 | 備考 |
| バックアップ形態 | 物理的にネットワークから遮断された保管(LTO、HDDの取り外し等) | クラウドのみは「オフライン」と見なされない場合がある |
| リカバリ訓練 | 年1回以上の復旧テストと記録の保持 | 監査時の必須確認項目 |
| 脆弱性診断 | 外部ネットワークからの侵入経路確認 | 専門業者による診断が推奨される |
2026年度から適用される新たな「施設基準」と届出のタイミング
新たな加算を算定するためには、地方厚生局への届出が必要です。2026年4月の改定施行に合わせ、3月末までに「医療DX推進体制」および「サイバーセキュリティ体制」の要件を満たし、所定の様式で提出しなければなりません。
特に、後述するBCPの策定やバックアップ運用の開始には時間を要するため、施行の半年前から準備を開始することが、算定漏れを防ぐ唯一の方法です。
【引用元】
厚生労働省(令和8年度診療報酬改定について)
https://www.mhlw.go.jp/stf/newpage_67729.html
セキュリティ投資は回収可能か?コストと加算の収益シミュレーション
多くの院長先生を悩ませるのが、「セキュリティ対策にいくらかかり、いつ元が取れるのか」という収支のバランスです。結論から言えば、補助金を賢く活用し、拡充された加算を確実に取得することで、3~5年以内での投資回収(ペイバック)は十分に可能です。
以下では、具体的なコスト軽減策と収益の試算を見ていきます。
導入コストを大幅に軽減する「IT導入補助金」と税制優遇の活用術
セキュリティソフトの導入やサーバーの入れ替えには、数百万円規模の費用がかかることも珍しくありません。ここで活用したいのが「IT導入補助金」のセキュリティ対策推進枠です。
- IT導入補助金:最大100万円、補助率1/2(または最大4/5)が適用される枠があり、クリニックの負担を大幅に抑えられます。
- 中小企業経営強化税制:認定を受けた設備投資に対し、即時償却または税額控除が受けられる制度です。
これらの制度を併用することで、実質的な持ち出し費用を最小化しながら、最新の防御体制を構築できます。
月間患者数から算出する「加算による増収分」のペイバック期間
では、実際にどの程度の増収が見込めるのでしょうか。仮に「医療DX推進体制整備加算」の評価が、1人につき月1回、数点~数十点引き上げられた場合の簡易シミュレーションを行います。
- 前提条件:
- 月間患者数:800人
- 加算による増点:10点(100円)
- 月間増収:80,000円
- 年間増収:960,000円
- 投資額:300万円(補助金活用で自己負担150万円)
- 回収期間:約1.6年
このように、加算を継続的に算定できれば、数年で初期投資を回収し、それ以降はセキュリティ維持費用を十分に賄うことが可能です。
【引用元】
デジタル化・AI導入補助金2026
https://it-shien.smrj.go.jp/
厚生労働省(医療DXの推進について)
https://www.mhlw.go.jp/content/12401000/001298804.pdf
監査で否認されないためのポイント:ガイドライン6.0への適合
診療報酬の加算を算定する以上、厚生局の適時調査(監査)への備えは不可欠です。形だけの対策では、後から返還請求を受けるリスクがあります。その基準となるのが「医療情報システム安全管理ガイドライン」です。
「医療情報システム安全管理ガイドライン」に基づく3つの必須対策
最新のガイドライン(Ver.6.0以降)では、経営者が責任を持つべき項目が明確化されました。特に以下の3点は、監査で厳しくチェックされる「一丁目一番地」の対策です。
- アクセス管理の徹底:ID・パスワードの共有禁止、二要素認証の導入。
- 外部ネットワークとの接続管理:持ち込みPCの接続制限やVPNの適切な運用。
- ソフトウェアの更新管理:OSやウイルス対策ソフトが常に最新の状態であることの記録。
査定を回避する!院内掲示と「バックアップ運用ログ」の適切な保管
加算の算定要件には、「患者への周知」や「適切な記録」が含まれます。
- 院内掲示:医療DX推進体制に関する事項を、受付や院内の見やすい場所に掲示しなければなりません。
- 運用ログ:バックアップが毎日正常に実行されているか、チェック表やログデータを保管しておく必要があります。「やっているつもり」ではなく「やっている証拠」を残すことが、査定回避の鍵です。
【引用元】
厚生労働省(医療情報システムの安全管理に関するガイドライン第6.0版)
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
クリニックが最短で作成すべきBCP(事業継続計画)の4ステップ
2026年度改定では、サイバー攻撃を想定したBCPの策定が実質的に必須要件となります。大掛かりな冊子を作る必要はありませんが、現場で機能する「実効性のある計画」が求められます。
最短でBCPを構築するための4ステップを解説します。
サイバー攻撃発生時に診療を止めない「代替手段」の確保
システムがダウンした際、どのように診療を継続するかをあらかじめ決めておきます。
- Step1(紙運用への切り替え):紙のカルテ用紙、処方箋の予備を常に一定数確保しておく。
- Step2(スタンドアロン端末):ネットワークから切り離されたPCで、過去の診療履歴(PDF出力したものなど)を参照できる環境を整える。
スタッフ全員で共有すべき「緊急時連絡網」と復旧優先順位の策定
パニックを防ぐためには、初動のルール作りが重要です。
- Step3(連絡体制):ベンダー(システム会社)、IPA、警察、保健所への連絡先を一覧表にし、スタッフルームに掲示する。
- Step4(優先順位):どのデータを優先的に復旧させるか(会計、それとも過去のカルテか)を合意しておく。
このように「止まった時にどうするか」を可視化しておくことで、有事の際の被害を最小限に食い止め、患者からの信頼を維持することができます。
【引用元】
厚生労働省(令和7年度版 医療機関におけるサイバーセキュリティ対策チェックリスト)
https://www.mhlw.go.jp/content/10808000/001253950.pdf
まとめ:2026年度改定を機に強固な経営基盤と患者の信頼を構築する
2026年度の診療報酬改定は、医療機関にとって大きな転換点となります。セキュリティ対策を「コストを伴う義務」と捉えるのではなく、国の支援(加算・補助金)を活用してクリニックの基盤をアップデートする「好機」と捉えるべきでしょう。
適切な投資によって強固なセキュリティとDX体制を築くことは、結果として以下のような好循環を生みます。
- 診療報酬の安定的な確保:要件を満たすことで増収に直結。
- 業務の効率化:電子処方箋や情報共有による事務負担の軽減。
- 患者満足度の向上:「情報が守られている」という安心感による信頼の獲得。
まずは自院の現状をガイドラインに照らし合わせ、必要な対策の優先順位をつけるところから始めてみてください。それが、来るべき新基準への対応、そして次世代のクリニック経営への第一歩となります。
