小病院ITリスク診断 200項目チェックリスト

🟦 1. 経営・方針・体制（20項目）

1. IT責任者が明確に定義されているか

2. IT方針が文書化されているか

3. 院長がITを理解しているか

4. 事務長がITに無理解のまま権限だけ持っていないか

5. IT運用が“担当者任せ”になっていないか

6. 緊急時の意思決定ルートが整理されているか

7. IT予算の根拠が妥当か

8. 新規システム導入の意思決定ルートが明確か

9. 院長の感情で方針が変わらないか

10. ベンダー任せで判断していないか

11. 複数部署の意見がIT投資に反映されているか

12. IT関連の年間計画があるか

13. コンプライアンスの考え方が共有されているか

14. 個人のストレスチェック結果を上司が勝手に共有していないか

15. ハラスメント体質がないか

16. 院長と事務長の独断が起きていないか

17. “密室での圧力”が組織構造として存在しないか

18. IT担当が孤立していないか

19. 後任育成を計画しているか

20. 退職時の引継ぎルールがあるか ⸻

🟦 2. IT担当者・組織設計（20項目）

21. 担当者のスキル範囲が明確

22. “できる/できない”の境界が管理側に理解されている

23. IT担当の負荷が偏っていない

24. 属人化が発生していない

25. 夜間・休日の対応が仕組み化されている

26. 担当者が病院のシステム理解を独占していない

27. 業務手順書が共有されている

28. 引き継ぎ可能な状態

29. 後任が機能できる育成体制

30. 担当者の心理的安全性

31. ハラスメントからの保護

32. 業務量と人員のバランス

33. 兼務が多すぎないか

34. 1人で医療IT＋労務＋勤怠を持っていない

35. 現場の声をIT担当が吸収しすぎていない

36. ミスが担当者個人に押しつけられない

37. 管理職がIT担当の困りごとを理解している

38. 設備投資の判断にIT担当の意見が入る

39. 無理解な管理者の指示で混乱していない

40. 人事がIT担当の負荷を考えている ⸻

🟦 3. ネットワーク（30項目）

41. ネットワーク構成図が最新

42. VLANが適正に分離

43. 院内LAN/院外LAN/ゲストが分離

44. スイッチ、ルーター、UTMの寿命管理

45. 障害切り分けが担当者で可能

46. 異常監視の仕組みあり

47. 配線が整理されている

48. 不明なケーブルが存在しない

49. 無線LANが適正にセグメント分け

50. 診療系と事務系の分離

51. マイナ受付機器が安定接続

52. オン資（オンライン資格確認）死活監視

53. DHCP管理が整理

54. 二重DHCPがない

55. IPアドレス管理表が存在

56. 旧機器が放置されていない

57. UTMのルールが適正

58. 院長室だけ例外ルールになってない

59. VPN設定が正しい

60. リモートアクセスの制御

61. NASへのアクセス権が整理

62. 院外からのアクセス制御

63. 不正端末が接続されていないか

64. スイッチの冗長性

65. 回線障害時の対応ルート

66. ベンダーに丸投げされていないか

67. 院長の個人Wi-Fiが勝手に混線してない

68. 謎のプリンタがネットワークを占拠してない

69. オン資LANが汚染されていない

70. UTMログが誰も見ていない状態になってない

 ⸻

 🟦 4. サーバ・電子カルテ（20項目）

71. 電子カルテのバージョン管理

72. ORCAとの連携状況

73. 予備サーバ・バックアップ

74. サーバ寿命管理

75. メーカー保守の確認

76. 夜間バッチの正常性

77. 障害時対応手順書

78. メーカー任せで担当者が理解していない部分

79. PACSの容量管理

80. 画像バックアップ

81. ウイルス対策

82. ライセンス管理

83. 旧端末のアカウント情報残存

84. 院長IDの使い回し

85. 看護のログ管理

86. 手書き部分との二重管理

87. 電子カルテが“ブラックボックス化”していないか

88. メーカーとの責任範囲整理

89. セキュリティログの確認

90. ORCA請求締めが属人化 ⸻

🟦 5. 端末・機器管理（20項目）

91. PC台帳

92. プリンタ管理

93. 交換サイクル

94. Windowsアップデート管理

95. Office365管理

96. 不要端末の撤去

97. ライセンス未管理端末がない

98. Win10/11混在の対応

99. 院長PCだけ異常設定になってない

100. 予備PC台数

101. 廃棄証明

102. ウイルス対策ソフトの統一

103. 職場の勝手なBYOD

104. USB制御

105. マイナ読取端末の保守

106. 外部業者が勝手に設定変更してない

107. 古いNASが放置されてない

108. タブレット管理

109. 病棟の共有PCのアカウント管理

110. 端末パスワードルールの遵守 ⸻

🟦 6. セキュリティ・ガイドライン（25項目）

111. 医療情報ガイドライン対応有無

112. 情報セキュリティ委員会

113. 権限管理

114. ログインIDの共有禁止

115. 院長が例外ルールになっていない

116. パスワードの定期変更

117. アクセスログ保存期間

118. 勤怠や労務データの取扱

119. 外部持ち出し制御

120. USB禁止ルール

121. ストレスチェックの個人情報保護（これ重要）

122. 事務長が個人情報を勝手に院長へ伝達していないか

123. ハラスメント通報窓口

124. スマホ撮影禁止ルール

125. 印刷物の放置

126. 院外メール暗号化

127. BCPにセキュリティが含まれるか

128. 情報漏洩訓練

129. ID発行・削除手順

130. 外注業者の入退室管理

131. UTMログの管理

132. 端末ログ確認

133. 監査証跡

134. 退職者アカウント停止 ⸻

 🟦 7. 勤怠・労務・給与・業務システム（25項目）

135. 勤怠システムの正常稼働

136. 設定の属人化

137. 労務管理のミス

138. 給与表の正確性

139. シフト管理が混乱していないか

140. 有休管理表

141. 労働条件通知書の統一

142. 院長・事務長の気分でルールが変わらないか

143. 職員の情報が筒抜けになってない

144. 給与ソフトの更新

145. 社会保険のデータ管理

146. 各部署との連携

147. 担当者のストレス過多

148. 労務が“IT担当の責任”になってない

149. 休憩・残業管理

150. 診療情報と事務がリンクしてない

151. 医療安全との情報共有

152. 評価制度の整備

153. 職員台帳

154. 個人情報の取扱

155. 休職・復職手続き

156. 産業医への情報伝達の正当性

157. メンタルケアの仕組み

158. セクハラ・パワハラの構造的温床がないか

159. 管理職の教育 ⸻

🟦 8. 医療安全・法令（20項目）

160. ヒヤリハットの質

161. 真因分析が形骸化してないか

162. 院長・事務長が本気で見てるか

163. 安全委員会が機能

164. ガイドライン遵守

165. 個人情報保護法

166. マイナ保険証

167. オン資

168. 医療法

169. 労働基準法

170. 長時間労働

171. 医療安全管理者

172. 年次訓練

173. BCP

174. 災害時の電子カルテバックアップ

175. 廃棄ルール

176. 処方・検査連携

177. 文書管理

178. 監査結果の改善

179. 法令違反の放置

180. 院長の独断によるリスク ⸻

 🟦 9. 運用・業務プロセス（20項目）

181. 各部署のIT依頼が整理されている

182. ヘルプデスク窓口

183. “院長に直接報告しないと怒る”構造がない

184. 情報共有

185. 機器購入のルール

186. ベンダー調整

187. 点検の記録

188. 院長・事務長による口出しで運用が破綻していない

189. トラブル履歴

190. 年間プロジェクトの管理

191. 教育研修

192. 旧運用を惰性で続けてない

193. 院長の突発指示が混乱を生んでない

194. 不要な紙運用の残存

195. 部署間の対立

196. 院長の個人的な好み優先

197. 品質管理

198. 院内の“情報格差”

 199. IT担当の精神的負担

 200. 退職時の混乱リスク